Anubis fidye yazılımı operasyonuyla bağlantılı tehdit aktörleri, ilk erişim sağlamak için Citrix Bleed 2 (CVE-2025-5777) güvenlik açığından yararlanıyor. Arctic Wolf'un bu hafta yayımladığı rapora göre, farklı iş birlikçiler taktiklerde farklılık gösterse de, meşru Uzaktan Yönetim ve İzleme (RMM) araçlarının kullanımı, kimlik bilgisi erişimi ve yanal hareket için kullanılan klavye başında prosedürler gibi ortak desenler ortaya çıkıyor. Anubis iş birlikçileri, ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC ve Total Software Deployment gibi meşru uzaktan erişim ve yönetim araçlarını kötüye kullanarak normal BT faaliyetlerine karışıp kurban sistemlerin kontrolünü ellerinde tutuyor.
Anubis, 2024 sonlarında Sphinx fidye yazılımının yeniden markalaşması olarak ortaya çıkan bir hizmet olarak fidye yazılımı (RaaS) grubudur. Şubat 2025'te RAMP yeraltı forumunda resmen duyurulan grup, Ransomware.Live verilerine göre 91 kurban ilan etti ve sadece Haziran 2026'da 11 kurban bildirildi. Sağlık, iş hizmetleri, üretim, teknoloji ve finansal hizmetler gibi öne çıkan sektörler hedef alınırken, kurbanların yarısından fazlası ABD'de bulunuyor. Rubrik Zero Labs'ın Temmuz 2025 raporuna göre Anubis, iş birlikçilere ödenen fidye miktarının %80'ini teklif ederek cazip kar paylaşımı yapıyor ve geri döndürülemez veri silme özelliğiyle kurbanlar üzerindeki baskıyı artırıyor.
The Gentlemen RaaS grubu ise, Kaspersky'nin detaylandırdığına göre, bilinen güvenlik açıkları ve çalıntı veya zayıf kimlik bilgilerini kullanarak hedeflere sızıyor. Go tabanlı bir arka kapı ile uzaktan komut yürütme sağlayan grup, yanal hareket için Group Policy veya PsExec, savunma atlatma için ise BYOVD (kendi zafiyetli sürücünü getir) tekniğini kullanıyor. Expel'e göre, grup ayrıca Kontron tarafından geliştirilen ktapi.sys sürücüsündeki bir sıfır gün açığını silah haline getirerek çekirdek düzeyinde erişim elde ediyor, Windows güvenlik korumalarını atlıyor ve Microsoft, ESET, Palo Alto Networks ile SentinelOne'a ait korunan güvenlik süreçlerini öldürüyor.
Siber güvenlik uzmanları, bu gelişmelerin fidye yazılımı gruplarının giderek daha karmaşık ve meşru araçları kötüye kullanan taktiklere yöneldiğini gösterdiğini belirtiyor. Arctic Wolf, VPN kimlik bilgilerinin daha önceki ihlaller, ilk erişim aracıları (IAB), kimlik bilgisi doldurma veya bilgi hırsızı faaliyetleri yoluyla elde edilmiş olabileceğini vurguluyor. Kurumların, Citrix NetScaler cihazlarını güncellemeleri, çok faktörlü kimlik doğrulama kullanmaları ve BYOVD saldırılarına karşı sürücü imza politikalarını sıkılaştırmaları öneriliyor. Ayrıca, meşru RMM araçlarının kötüye kullanımını tespit etmek için ağ trafiği analizi ve uç nokta izleme çözümlerinin güçlendirilmesi gerekiyor.