Bekannte Schwachstellen

Anubis-Ransomware: So gehen die Angreifer vor

Anubis

Neue Untersuchungen von Arctic Wolf Labs liefern tiefere Einblicke in die Arbeitsweise der Anubis-Ransomware-Gruppe. Im Fokus der Analyse steht dabei nicht die Schadsoftware selbst, sondern die Vorgehensweise der Angreifer vor der eigentlichen Verschlüsselung.

Die Ergebnisse basieren auf Incident-Response-Untersuchungen aus einem Zeitraum von nahezu sechs Monaten und sollen Unternehmen dabei helfen, Angriffe bereits in einer frühen Phase zu erkennen.

Anzeige

Die Auswertung zeigt, dass die Täter keine neuartigen Angriffsmethoden benötigen, um in Unternehmensnetzwerke einzudringen. Stattdessen setzen sie auf bewährte Wege: Häufig verschaffen sie sich über die Sicherheitslücke CitrixBleed 2 (CVE-2025-5777) oder mithilfe gültiger VPN-Zugangsdaten Zugang zu den betroffenen Systemen.

Nach Angaben von Arctic Wolf Labs beginnt der Angriff damit, dass sich die Kriminellen unauffällig im Netzwerk etablieren und ihre Rechte schrittweise erweitern.

Legitime IT-Werkzeuge als Tarnung

Anstatt auffällige Schadsoftware einzusetzen, greifen die Angreifer überwiegend auf bekannte Fernwartungs- und Administrationsprogramme zurück. Dazu gehören unter anderem ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC sowie Total Software Deployment.

Anzeige

Der Einsatz dieser regulären IT-Werkzeuge erschwert die Erkennung erheblich, da sie in vielen Unternehmen ohnehin zum Alltag gehören. Entscheidend ist laut den Forschern daher weniger ein einzelnes Programm, sondern die ungewöhnliche Abfolge verschiedener Aktivitäten innerhalb des Netzwerks.

Kritische Systeme stehen besonders im Fokus

Bei den untersuchten Vorfällen richteten sich die Angriffe wiederholt gegen besonders sensible Systeme. Dazu zählen unter anderem Microsoft-Remote-Desktop-Server, Domänencontroller, Hypervisoren, Backup-Systeme sowie NAS-Speicher.

Darüber hinaus beobachteten die Experten Versuche, alternative Kommunikationskanäle aufzubauen. Dafür kamen unter anderem cloudflared, authentifizierte Proxys und SSH-basiertes SOCKS-Tunneling zum Einsatz. Auf diese Weise wollten die Angreifer ihre Aktivitäten besser verbergen und gleichzeitig Gegenmaßnahmen sowie die spätere Wiederherstellung erschweren.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Angriffsmuster frühzeitig erkennen

Die Untersuchungen machen deutlich, dass sich die Anubis-Affiliates auf eine wiederkehrende Angriffskette verlassen. Gerade diese typischen Abläufe bieten Unternehmen die Möglichkeit, verdächtige Aktivitäten bereits vor der eigentlichen Ransomware-Ausführung zu identifizieren.

Moderne Abwehrmaßnahmen sollten nicht nur auf Schadsoftware selbst achten. Ebenso wichtig ist die kontinuierliche Überwachung verdächtiger Anmeldevorgänge, ungewöhnlicher Fernwartungsaktivitäten und auffälliger Bewegungen innerhalb des Unternehmensnetzwerks.

(red/Arctic Wolf Labs)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.