https://www.cotillon-de-fete.fr/tours-gratuits-acceptant-les-joueurs-belges-casino-en-ligne/
Friday, July 3, 2026

Los grupos de ransomware recurren a Citrix Bleed 2, BYOVD y las credenciales de la cadena de suministro

TecnologíaLos grupos de ransomware recurren a Citrix Bleed 2, BYOVD y las credenciales de la cadena de suministro

Actores de amenazas asociados con el Anubis Se ha observado que una operación de ransomware aprovecha la vulnerabilidad Citrix Bleed 2 (CVE-2025-5777) para obtener acceso inicial.

“Aunque las tácticas difieren entre los afiliados, surgieron patrones comunes en el oficio mediante el uso de herramientas legítimas de monitoreo y administración remota (RMM), acceso a credenciales y procedimientos prácticos con el teclado utilizados para el movimiento lateral”, dijo Arctic Wolf en un informe publicado esta semana.

“Los afiliados de Anubis abusaron repetidamente de herramientas legítimas de administración y acceso remoto, incluidas ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC y Total Software Deployment, para integrarse con la actividad normal de TI mientras mantenían el control de los sistemas de las víctimas”.

Anubis es un grupo de ransomware como servicio (RaaS) que surgió por primera vez a finales de 2024 como un cambio de marca del ransomware Sphinx. La operación de ransomware se anunció formalmente en el foro clandestino Ransomware and Advanced Malware Protection (RAMP) en febrero de 2025. Según datos de Ransomware.Live, el equipo de cibercrimen se ha cobrado 91 víctimas en su sitio de filtración de datos, y 11 víctimas reportadas solo en junio de 2026.

Algunos de los sectores destacados a los que se dirigen incluyen la atención sanitaria, los servicios empresariales, la fabricación, la tecnología y los servicios financieros. Más del 50% de las víctimas se encuentran en Estados Unidos, seguido por el Reino Unido, Australia, Francia y Canadá.

En un informe publicado en julio de 2025, Rubrik Zero Labs dijo que Anubis anuncia atractivas divisiones de ganancias, ofreciendo a los afiliados el 80% de los montos del rescate pagado, y lo combina con una función de borrado de datos irreversible que aumenta la presión sobre las víctimas para que paguen.

“Cuando se activa el módulo /WIPEMODE de Anubis, los archivos permanecen en los directorios pero se reducen a un tamaño de 0 KB independientemente del pago del rescate”, señaló Rubrik en ese momento. “Saber que los actores de amenazas pueden revertir los entornos de las víctimas a este estado de tierra arrasada con un solo comando aumenta significativamente la presión sobre las víctimas para que paguen antes de que el limpiador se active por completo”.

Las intrusiones de ransomware, observadas este año, implican tanto el uso de credenciales VPN válidas como la explotación de CVE-2025-5777 (puntuación CVSS: 9,3), una falla crítica que afecta a Citrix NetScaler ADC y Gateway y que un atacante podría abusar de ella para evitar la autenticación cuando el dispositivo está configurado como Gateway o servidor virtual AAA.

Se desconoce la fuente exacta de las credenciales de VPN utilizadas en estas intrusiones. Sin embargo, es posible que se hayan obtenido tras un compromiso previo, o mediante intermediarios de acceso inicial (IAB), relleno de credenciales o actividad de ladrón de información.

“Además de la explotación de CitrixBleed 2, se observaron inicios de sesión válidos de Cisco AnyConnect VPN desde varios ASN de alojamiento, incluidos AS20473 – The Constant Company y AS55286 – ServerMania”, explicó Arctic Wolf. “La autenticación de VPN maliciosa fue seguida por una actividad de inicio de sesión que involucraba a RDP y SMB, lo que conducía al acceso a credenciales, la creación de servicios PsExec, la implementación de RMM y, en última instancia, la invocación de herramientas de transferencia a la nube para la exfiltración”.

El movimiento lateral se facilita a través de RDP y PsExec, lo que luego conduce al despliegue de varias herramientas RMM legítimas para acceso persistente, otorgando a los atacantes la capacidad de transferir archivos y ejecutar código de forma remota, mientras permanecen fuera del radar. Algunas intrusiones también configuran un túnel Cloudflare (también conocido como cloudflared) para establecer túneles hacia los entornos de las víctimas.

La siguiente fase de los ataques implica recopilar credenciales para facilitar un acceso más profundo al entorno comprometido, después de lo cual se instalan herramientas como S3 Browser, rclone, s5cmd, WinSCP y PuTTY para la transferencia o exfiltración de datos antes de la implementación del ransomware. Paralelamente, se toman medidas para debilitar las defensas del sistema y complicar el análisis posterior al incidente.

“Estas técnicas incluían la desactivación de la protección en tiempo real de Windows Defender, la actividad de desinstalación de Sophos, artefactos relacionados con PCHunter y limpieza o manipulación de registros en múltiples sistemas”, explicó la empresa de ciberseguridad. “En al menos una intrusión, se eliminó un cifrador Anubis después de la ejecución, lo que redujo la disponibilidad de artefactos de carga útil en el disco para su posterior análisis”.

La puerta trasera de los caballeros y el exploit de día 0 BYOVD

La revelación se produce como lo detalló Kaspersky. los caballeros La explotación por parte del grupo RaaS de vulnerabilidades conocidas y credenciales de inicio de sesión robadas o débiles para violar objetivos y su uso de una puerta trasera basada en Go para permitir la ejecución remota de comandos después del reconocimiento, el movimiento lateral a través de la Política de grupo o PsExec y la evasión de defensa utilizando la técnica de traer su propio controlador vulnerable (BYOVD).

El implante está diseñado para recopilar información del sistema, exfiltrarla a un servidor externo (“81.177.215(.)15:9443”) a través de una conexión TCP bidireccional y esperar respuestas del operador que luego se ejecutan en el host usando “cmd.exe” si el byte de respuesta es “c”. Si el byte es “s”, se establece una conexión de proxy SOCKS.

“Esta funcionalidad probablemente permita al equipo rojo de The Gentlemen girar dentro de la red objetivo y ampliar su cobertura de escaneo”, dijo Kaspersky. “Dadas las capacidades del implante de puerta trasera, como establecer comunicación bidireccional, ejecutar comandos, configurar un proxy SOCKS y recopilar información, está claro que también se puede utilizar para expandir la cadena de ataque según sea necesario”.

Según Expel, el grupo RaaS también ha utilizado como arma una vulnerabilidad de día cero en un controlador de proveedor externo poco conocido como parte de su arsenal BYOVD para obtener acceso a nivel de kernel, eludir las protecciones de seguridad de Windows y eliminar los procesos de seguridad protegidos asociados con Microsoft, ESET, Palo Alto Networks y SentinelOne. El controlador en cuestión es ktapi.sys, que forma parte de una API desarrollada por Kontron.

“Aún no está claro cómo los actores de amenazas tomaron posesión del archivo o obtuvieron conocimiento de su vulnerabilidad”, dijo Marcus Hutchins, investigador principal de amenazas en Expel. “BYOVD sigue siendo una gran amenaza para las empresas, ya que permite a los atacantes desactivar sistemas de seguridad de última generación en segundos. Incluso utilizando la última versión de Windows, con todas las mitigaciones de exploits habilitadas, no proporciona una protección completa”.

Asociación de ransomware entre VECT y TeamPCP

Los hallazgos también surgen tras una investigación de la Unidad Contra Amenazas de Sophos sobre la asociación entre VECT y TeamPCP, que se anunció en marzo de 2026 para combinar el robo de credenciales impulsado por ataques a la cadena de suministro con la implementación de ransomware.

“La asociación formal entre TeamPCP y VECT permite a VECT implementar ransomware en todas las organizaciones comprometidas en los ataques a la cadena de suministro de Trivy y LiteLLM”, dijo Sophos en un informe compartido con The Hacker News. “Antes de la asociación con VECT, TeamPCP ejecutaba otra operación de ransomware bajo la marca CipherForce. CipherForce enumeró a seis víctimas en su sitio de filtración en febrero de 2026 y lo renombró como sitio de filtración de TeamPCP en mayo”.

Análisis recientes de Check Point y JUMPSEC han encontrado que VECT contiene fallas de implementación que causan que cualquier archivo de más de 128 KB se destruya permanentemente en lugar de cifrarse, lo que llevó a TeamPCP a emitir una declaración afirmando que nunca habían usado el cifrado de VECT en ataques. “Somos dueños de CipherForce, nuestro propio casillero privado”, afirmó el grupo.

“La alianza VECT/TeamPCP representa un cambio significativo en el panorama de amenazas de ransomware, incluso teniendo en cuenta las deficiencias técnicas que socavan su eficacia operativa”, dijo Sophos.

“La convergencia del robo de credenciales de la cadena de suministro a gran escala, una operación RaaS madura y la movilización masiva de foros clandestinos constituye un modelo sin precedentes de implementación de ransomware industrializado que reduce significativamente la barrera de entrada del ciberdelito”.

Artículos más populares