Anubis fidye yazılımı operasyonuyla bağlantılı tehdit aktörleri, Citrix Bleed 2 (CVE-2025-5777) güvenlik açığını kullanarak ilk erişimi sağlıyor. Arctic Wolf’un bu hafta yayımladığı rapora göre, bağlı grupların taktikleri farklılık gösterse de, ortak desenler meşru Uzaktan Yönetim ve İzleme (RMM) araçlarının kullanımı, kimlik bilgisi erişimi ve yanal hareket için klavye başında manuel prosedürler içeriyor. Anubis bağlıları, ScreenConnect, Zoho Assist, MeshAgent gibi araçları kötüye kullanarak normal BT faaliyetleri arasına karışıp kurban sistemlerini kontrol altında tutuyor.
Anubis, 2024 sonlarında Sphinx fidye yazılımının yeniden markalaşmasıyla ortaya çıkan bir hizmet olarak fidye yazılımı (RaaS) grubu. Şubat 2025'te RAMP yeraltı forumunda duyurulan grup, Ransomware.Live verilerine göre veri sızıntı sitesinde 91 kurban ilan etti. Sağlık, iş hizmetleri, üretim, teknoloji ve finans gibi sektörleri hedef alan Anubis, kurbanların %50'sinden fazlasını ABD'de buluyor. Rubrik Zero Labs'in Temmuz 2025 raporuna göre, Anubis bağlılarına ödenen fidyelerin %80'ini teklif ediyor ve geri döndürülemez veri silme özelliğiyle baskıyı artırıyor.
Saldırılarda geçerli VPN kimlik bilgileri ve CVE-2025-5777 açığı kullanılıyor. Arctic Wolf, CitrixBleed 2 sömürüsüne ek olarak, AS20473 ve AS55286 gibi barındırma ağlarından geçerli Cisco AnyConnect VPN girişleri gözlemledi. Yanal hareket RDP ve PsExec ile sağlanırken, kalıcı erişim için RMM araçları ve Cloudflare Tunnel kullanılıyor. Saldırganlar, Windows Defender'ı devre dışı bırakma, log silme gibi savunma engelleme teknikleri uyguluyor. Anubis şifreleyicisinin bir olayda çalıştırıldıktan sonra silindiği tespit edildi.
Kaspersky'nin raporuna göre, The Gentlemen RaaS grubu da bilinen açıklar ve çalıntı kimlik bilgileriyle hedeflere sızıyor. Go tabanlı bir arka kapı kullanan grup, iki yönlü TCP bağlantısıyla komut çalıştırma ve SOCKS proxy kurulumu yapıyor. Ayrıca, Expel'in tespitine göre, grup BYOVD (kendi savunmasız sürücünü getir) saldırısında ktapi.sys sürücüsündeki bir sıfır gün açığını kullanarak çekirdek seviyesinde erişim sağlıyor ve Microsoft, ESET, Palo Alto Networks gibi güvenlik yazılımlarını devre dışı bırakıyor. BYOVD saldırıları, kurumsal ağlar için büyük tehdit oluşturmaya devam ediyor.