Neue Untersuchungen von Arctic Wolf Labs liefern tiefere Einblicke in die Arbeitsweise der Anubis-Ransomware-Gruppe. Im Fokus der Analyse steht dabei nicht die Schadsoftware selbst, sondern die Vorgehensweise der Angreifer vor der eigentlichen Verschlüsselung.
Die Ergebnisse basieren auf Incident-Response-Untersuchungen aus einem Zeitraum von nahezu sechs Monaten und sollen Unternehmen dabei helfen, Angriffe bereits in einer frühen Phase zu erkennen.
Die Auswertung zeigt, dass die Täter keine neuartigen Angriffsmethoden benötigen, um in Unternehmensnetzwerke einzudringen. Stattdessen setzen sie auf bewährte Wege: Häufig verschaffen sie sich über die Sicherheitslücke CitrixBleed 2 (CVE-2025-5777) oder mithilfe gültiger VPN-Zugangsdaten Zugang zu den betroffenen Systemen.
Nach Angaben von Arctic Wolf Labs beginnt der Angriff damit, dass sich die Kriminellen unauffällig im Netzwerk etablieren und ihre Rechte schrittweise erweitern.
Legitime IT-Werkzeuge als Tarnung
Anstatt auffällige Schadsoftware einzusetzen, greifen die Angreifer überwiegend auf bekannte Fernwartungs- und Administrationsprogramme zurück. Dazu gehören unter anderem ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC sowie Total Software Deployment.
Der Einsatz dieser regulären IT-Werkzeuge erschwert die Erkennung erheblich, da sie in vielen Unternehmen ohnehin zum Alltag gehören. Entscheidend ist laut den Forschern daher weniger ein einzelnes Programm, sondern die ungewöhnliche Abfolge verschiedener Aktivitäten innerhalb des Netzwerks.
Kritische Systeme stehen besonders im Fokus
Bei den untersuchten Vorfällen richteten sich die Angriffe wiederholt gegen besonders sensible Systeme. Dazu zählen unter anderem Microsoft-Remote-Desktop-Server, Domänencontroller, Hypervisoren, Backup-Systeme sowie NAS-Speicher.
Darüber hinaus beobachteten die Experten Versuche, alternative Kommunikationskanäle aufzubauen. Dafür kamen unter anderem cloudflared, authentifizierte Proxys und SSH-basiertes SOCKS-Tunneling zum Einsatz. Auf diese Weise wollten die Angreifer ihre Aktivitäten besser verbergen und gleichzeitig Gegenmaßnahmen sowie die spätere Wiederherstellung erschweren.
Angriffsmuster frühzeitig erkennen
Die Untersuchungen machen deutlich, dass sich die Anubis-Affiliates auf eine wiederkehrende Angriffskette verlassen. Gerade diese typischen Abläufe bieten Unternehmen die Möglichkeit, verdächtige Aktivitäten bereits vor der eigentlichen Ransomware-Ausführung zu identifizieren.
Moderne Abwehrmaßnahmen sollten nicht nur auf Schadsoftware selbst achten. Ebenso wichtig ist die kontinuierliche Überwachung verdächtiger Anmeldevorgänge, ungewöhnlicher Fernwartungsaktivitäten und auffälliger Bewegungen innerhalb des Unternehmensnetzwerks.
(red/Arctic Wolf Labs)