Ransomware-Analyse von Arctic Wolf Anubis-Angriffskette erkennen, Angriff verhindern

Quelle: Pressemitteilung 2 min Lesedauer

Anbieter zum Thema

Ransomware-Affiliates von Anubis nutzen bekannte Schwachstellen und legitime Tools für den Erstzugriff. Laut Arctic Wolf folgen die Angriffe klaren Mustern, die Unternehmen zur frühzeitigen Erkennung nutzen können.

Arctic Wolf hat die Anubis-Ransomware genauer analysiert und ein wiederkehrendes Angriffsmuster identifizieren können.(Bild:  Gemini / Vogel IT-Medien GmbH / KI-generiert)
Arctic Wolf hat die Anubis-Ransomware genauer analysiert und ein wiederkehrendes Angriffsmuster identifizieren können.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Erst seit 2024 gibt es die Crpyto-Ransomware „Anubis“, die auch als Ransomware-as-a-Service angeboten wird. Da Anubis mehrere Angriffsmethoden kombiniert, ist sie noch gefährlicher als eine klassische Verschlüsselungssoftware. Die Akteure verfügen über Wiper-Funktionen, die in der Lage sind, Daten komplett zu zerstören. Damit und mit dem Modell der Double Extortion bauen sie enormen Druck auf ihre Opfer auf. Cybersecurity-Hersteller Arctic Wolf hat neue Forschungsergebnisse veröffentlicht, die die Vorgehensweise von Anubis detailliert beleuchtet.

So geht Anubis vor

Die Untersuchung basiert Arctic Wolf nach auf Erkenntnissen aus fast sechs Monaten Incident-Response-Beobachtungen. Das Ziel dahinter sei es, zusätzliche Möglichkeiten zu schaffen, Angriffe frühzeitig zu erkennen und zu stoppen.

Dafür wollten die Analysten zuerst herausfinden, wie Anubis-Affiliates sich initialen Zugriff verschaffen. Sie würden keine neuartige Malware benötigen, sondern einer klar erkennbaren Angriffskette folgen: Zuerst würden sie sich Zugriff auf Unternehmensnetzwerke verschaffen mithilfe der CitrixBleed2-Schwachstelle EUVD-2025-18497 / CVE-2025-5777 oder gültiger VPN-Zugangsdaten. Anschließend würden sie legitime Remote-Management- und Fernzugriffs­werkzeuge, darunter ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC und Total Software Deployment, missbrauchen, um sich in reguläre IT-Abläufe einzufügen und dau­er­haften Zugriff auf kompromittierte Systeme zu behalten.

Wie aus den Beobachtungen hervorgegangen sei, hätten die Angreifer es wiederholt auf kritische Systeme wie Microsoft Remote-Desktop-Services-Server, Domänencontroller, Hypervisoren, Backup-nahe Systeme und NAS-Geräte abgesehen. In einigen Fällen hätten sie zudem versucht, mithilfe von cloudflared, authentifizierten Proxys und SSH-basiertem SOCKS-Tunneling alternative Kommunikationspfade aufzubauen, um ihre Aktivitäten besser zu verschleiern und die Erkennung sowie Wiederherstellung zu erschweren.

Unternehmen, die in der Lage seien, die Angriffskette von Anubis zu erkennen, könnten die Ausführung der Ransomware verhindern. Arctic Wolf habe folgende Abfolge identifiziert, die es zu erkennen gelte:

  • 2. Ungewöhnliche RDP- oder Server-Message-Block-Bewegungen
  • 3. Unbefugte Bereitstellung von RMM-Tools
  • 4. Zugriff auf Zugangsdaten
  • 5. Manipulation von Sicherheitsmechanismen
  • 6. Einsatz von Tools zur Datenexfiltration
  • 7. Gestufte Ausführung der Ransomware

(ID:50891396)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung