Grup Ransomware Beralih ke Citrix Bleed 2, BYOVD, dan Kredensial Rantai Pasokan
Intrusi ransomware, yang diamati tahun ini, melibatkan penggunaan kredensial VPN yang valid dan eksploitasi CVE-2025-5777 (skor CVSS: 9.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Pelaku ancaman yang terkait dengan operasi ransomware Anubis telah diamati mengeksploitasi kerentanan Citrix Bleed 2 (CVE-2025-5777) untuk mendapatkan akses awal.
Intrusi ransomware, yang diamati tahun ini, melibatkan penggunaan kredensial VPN yang valid dan eksploitasi CVE-2025-5777 (skor CVSS: 9. 3), sebuah kelemahan kritis yang berdampak pada Citrix NetScaler ADC dan Gateway yang dapat disalahgunakan oleh penyerang untuk melewati otentikasi ketika alat dikonfigurasi sebagai server virtual Gateway atau AAA.
“Teknik-teknik ini termasuk penonaktifan perlindungan real-time Windows Defender, aktivitas SophosUninstall, artefak terkait PCHunter, dan pembersihan atau manipulasi log di berbagai sistem,” jelas perusahaan keamanan siber tersebut. “Setidaknya dalam satu intrusi, enkripsi Anubis telah dihapus setelah eksekusi, sehingga mengurangi ketersediaan artefak muatan pada disk untuk analisis selanjutnya.”
Menurut Expel, grup RaaS juga telah mempersenjatai kerentanan zero-day pada driver vendor pihak ketiga yang kurang dikenal sebagai bagian dari persenjataan BYOVD mereka untuk mendapatkan akses tingkat kernel, melewati perlindungan keamanan Windows, dan mematikan proses keamanan terlindungi yang terkait dengan Microsoft, ESET, Palo Alto Networks, dan SentinelOne. Driver yang dimaksud adalah ktapi. sys yang merupakan bagian dari API yang dikembangkan oleh Kontron.
“Masih belum jelas bagaimana pelaku ancaman bisa memiliki file tersebut atau mengetahui kerentanannya,” kata Marcus Hutchins. “BYOVD terus menjadi ancaman besar bagi perusahaan, memungkinkan penyerang menonaktifkan sistem keamanan titik akhir yang canggih dalam hitungan detik. Bahkan menggunakan versi Windows terbaru, dengan semua mitigasi eksploitasi diaktifkan, tidak memberikan perlindungan yang lengkap.”
Temuan ini juga mengikuti investigasi dari Sophos Counter Threat Unit terhadap kemitraan antara VECT dan TeamPCP yang diumumkan pada bulan Maret 2026 untuk menggabungkan pencurian kredensial yang didorong oleh serangan rantai pasokan dengan penyebaran ransomware.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.