Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Рансомвер групите се насочуваат кон Citrix Bleed 2, BYOVD и кон украдени акредитиви од синџирот на снабдување

Истражувачите за сајбер-безбедност забележале дека напаѓачите поврзани со Anubis ransomware активно ја злоупотребуваат ранливоста Citrix Bleed 2 (CVE-2025-5777) за да добијат почетен пристап до целните системи.

„Иако тактиките се разликуваат меѓу поединечните оператори, забележани се заеднички обрасци во нивниот начин на работа, вклучувајќи користење легитимни алатки за далечинско управување и мониторинг (RMM), кражба на акредитиви и рачно извршување активности за странично движење (lateral movement),“ наведува Arctic Wolf во извештај објавен оваа недела.

Според компанијата, операторите на Anubis редовно злоупотребуваат легитимни алатки за далечински пристап и администрација, како што се:

  • ScreenConnect
  • Zoho Assist
  • MeshAgent
  • Remotely
  • UltraVNC
  • Total Software Deployment

Со користење на овие легитимни алатки, напаѓачите се вклопуваат во нормалната ИТ активност и незабележливо ја задржуваат контролата врз компромитираните системи.

Anubis – брзорастечка Ransomware-as-a-Service платформа

Anubis е група која нуди Ransomware-as-a-Service (RaaS) и се појави кон крајот на 2024 година како ребрендирана верзија на Sphinx ransomware. Операцијата официјално беше претставена на подземниот форум RAMP во февруари 2025 година.

Според податоците на Ransomware.Live, групата досега презела одговорност за 91 жртва, од кои 11 се регистрирани само во јуни 2026 година.

Најчесто цел на нападите се:

  • здравствени организации,
  • деловни услуги,
  • производствени компании,
  • технолошки компании,
  • финансиски институции.

Повеќе од половина од жртвите се во САД, а потоа следуваат Обединетото Кралство, Австралија, Франција и Канада.

Агресивен модел на изнуда

Во извештај објавен во јули 2025 година, Rubrik Zero Labs наведува дека Anubis им нуди на своите партнери (affiliates) 80% од исплатениот откуп, што е значително повисок процент од многу други RaaS програми.

Дополнителен механизам за притисок е модулот /WIPEMODE, кој неповратно ги уништува податоците.

Кога овој модул ќе се активира:

  • датотеките остануваат во директориумите,
  • но нивната големина се намалува на 0 KB,
  • без разлика дали жртвата ќе го плати откупот.

Според Rubrik, можноста напаѓачите со една единствена команда целосно да ја уништат околината значително го зголемува притисокот врз жртвите да платат пред активирањето на бришачот.

Експлоатација на Citrix Bleed 2

Годинашните напади комбинираат:

  • користење валидни VPN акредитиви и
  • експлоатација на CVE-2025-5777 (Citrix Bleed 2).

Оваа критична ранливост (CVSS 9.3) ги погодува:

  • Citrix NetScaler ADC
  • Citrix Gateway

Кога уредот е конфигуриран како Gateway или AAA Virtual Server, напаѓач може да ја заобиколи автентикацијата и да добие неовластен пристап.

Од каде доаѓаат VPN лозинките?

Точниот извор на VPN акредитивите сè уште не е познат.

Истражувачите претпоставуваат дека тие можеле да бидат добиени преку:

  • претходни компромитации,
  • брокери за почетен пристап (Initial Access Brokers – IAB),
  • credential stuffing напади,
  • инфостилер малициозен софтвер.

Покрај експлоатацијата на Citrix Bleed 2, Arctic Wolf забележал и успешни најавувања преку Cisco AnyConnect VPN од повеќе хостинг мрежи, меѓу кои:

  • AS20473 – The Constant Company
  • AS55286 – ServerMania

По VPN најавата следуваат активности преку:

  • RDP
  • SMB

Потоа напаѓачите:

  • собираат дополнителни акредитиви,
  • креираат PsExec сервиси,
  • инсталираат RMM алатки,
  • започнуваат ексфилтрација на податоците кон облак.

Странично движење и долгорочен пристап

За движење низ мрежата најчесто се користат:

  • RDP
  • PsExec

Потоа се инсталираат легитимни RMM решенија што им овозможуваат на напаѓачите:

  • траен пристап,
  • далечинско извршување код,
  • пренос на датотеки,
  • избегнување откривање.

Во дел од нападите се конфигурира и Cloudflare Tunnel (cloudflared), кој создава безбедни тунели до компромитираната инфраструктура.

Подготовка за кражба на податоци

Откако ќе добијат поширок пристап до мрежата, напаѓачите инсталираат алатки за пренос и ексфилтрација на податоци, меѓу кои:

  • S3 Browser
  • rclone
  • s5cmd
  • WinSCP
  • PuTTY

Овие алатки се користат за кражба на чувствителни информации пред да биде активиран рансомверот.

Оневозможување на заштитата

Пред финалната фаза од нападот, операторите преземаат чекори за ослабување на безбедносните механизми и отежнување на форензичката анализа.

Забележани се активности како:

  • исклучување на Windows Defender Real-Time Protection,
  • деинсталирање на Sophos,
  • користење артефакти поврзани со PCHunter,
  • бришење или манипулирање со системските логови на повеќе уреди.

Во најмалку еден случај, по извршувањето на нападот, Anubis encryptor бил автоматски избришан од системот, со што дополнително се намалуваат доказите што би можеле да им помогнат на форензичките истражители при анализата на инцидентот.

Go-бекдорот на The Gentlemen и BYOVD Zero-Day експлоитот

Овие информации се објавени откако Kaspersky ги откри деталите за начинот на кој The Gentlemen, ransomware-as-a-service (RaaS) група, ги злоупотребува познатите ранливости и украдените или слаби кориснички акредитиви за најава за да ги компромитира своите цели. По почетното пробивање, групата користи бекдор развиен на програмскиот јазик Go, кој овозможува далечинско извршување на команди по претходно извидување на системот, странично движење низ мрежата преку Group Policy или PsExec, како и избегнување на безбедносните механизми со примена на техниката Bring Your Own Vulnerable Driver (BYOVD).

Бекдорот е дизајниран да собира информации за системот, да ги испраќа до надворешен сервер (81.177.215[.]15:9443) преку двонасочна TCP конекција и да чека инструкции од операторот. Доколку примениот одговор содржи бајт „c“, бекдорот ги извршува командите преку cmd.exe. Ако бајтот е „s“, воспоставува SOCKS proxy конекција.

„Оваа функционалност најверојатно му овозможува на тимот на The Gentlemen да се движи низ внатрешната мрежа на жртвата и да го прошири опсегот на своето скенирање“, соопшти Kaspersky. „Со оглед на можностите на бекдорот – двонасочна комуникација, извршување команди, поставување SOCKS proxy и собирање информации – јасно е дека тој може да се користи и за понатамошно проширување на нападот кога тоа е потребно.“

Според Expel, RaaS групата исто така користи zero-day ранливост во драјвер од малку познат производител како дел од својот BYOVD арсенал. Со оваа техника напаѓачите добиваат пристап на kernel ниво, ги заобиколуваат безбедносните механизми на Windows и ги прекинуваат заштитените процеси на безбедносните решенија на Microsoft, ESET, Palo Alto Networks и SentinelOne. Станува збор за драјверот ktapi.sys, кој е дел од API развиено од компанијата Kontron.

„Сè уште не е јасно како напаѓачите дошле до оваа датотека или како дознале за ранливоста,“ изјави Marcus Hutchins, главен истражувач за закани во Expel. „BYOVD и понатаму претставува сериозна закана за организациите, бидејќи им овозможува на напаѓачите за само неколку секунди да ги оневозможат најсовремените системи за заштита на крајните уреди. Дури и користењето на најновата верзија на Windows, со овозможени сите механизми за заштита од експлоатација, не обезбедува целосна заштита.“

Партнерството меѓу VECT и TeamPCP

Овие сознанија следуваат по истрагата на Sophos Counter Threat Unit, која го анализира партнерството меѓу VECT и TeamPCP, објавено во март 2026 година. Целта на оваа соработка е комбинирање на кражба на акредитиви преку напади врз синџирот на снабдување (supply chain attacks) со распоредување на ransomware.

„Формалното партнерство меѓу TeamPCP и VECT му овозможува на VECT да распореди ransomware во сите организации компромитирани преку supply chain нападите врз Trivy и LiteLLM,“ соопшти Sophos во извештај споделен со The Hacker News. „Пред партнерството со VECT, TeamPCP управуваше со друга ransomware операција под брендот CipherForce. CipherForce објави шест жртви на својата страница за протекување податоци во февруари 2026 година, а во мај беше ребрендиран во страницата за протекување податоци на TeamPCP.“

Неодамнешните анализи на Check Point и JUMPSEC открија дека ransomware-от VECT содржи технички недостатоци во имплементацијата, поради кои секоја датотека поголема од 128 KB трајно се уништува наместо да биде шифрирана. Ова откритие го поттикна TeamPCP да објави соопштение во кое тврди дека никогаш не го користел енкрипторот на VECT во своите напади.

„Ние сме сопственици на CipherForce, наш сопствен приватен енкриптор (locker),“ изјави групата.

Според Sophos, „Сојузот меѓу VECT и TeamPCP претставува значајна промена во пејзажот на ransomware заканите, дури и ако се земат предвид техничките недостатоци што ја намалуваат неговата оперативна ефикасност.“

Компанијата додава дека „спојувањето на масовна кражба на акредитиви преку напади врз синџирот на снабдување (supply chain attacks), сè позрела Ransomware-as-a-Service (RaaS) операција и масовна мобилизација преку подземни хакерски форуми создава досега невиден модел на индустријализирано распоредување на ransomware, кој значително ја намалува бариерата за влез во сајбер-криминалот.“

Извори:

  • The Hacker News – Ransomware Groups Turn to Citrix Bleed 2, BYOVD, and Supply Chain Credentials The Hacker News