Zum Inhalt springen

Anubis-Ransomware: Angreifer nutzen bekannte IT-Werkzeuge zur Tarnung

Auf den Punkt: Anubis-Angreifer nutzen legitime IT-Tools und vorhersagbare Angriffsmuster zum Eindringen und zur Vorbereitung der Ransomware-Ausführung, bieten aber dadurch Unternehmen durch Verhaltensüberwachung Erkennungschancen vor der Verschlüsselung.

Arctic Wolf Labs hat die Angriffsmuster der Anubis-Ransomware-Gruppe analysiert und zeigt: Die Angreifer greifen nicht auf Exploit-Kits oder neuartige Malware zurück, sondern missbrauchen legitime Administrationstools wie ScreenConnect, Zoho Assist und Remote Desktop, um langfristig im Netzwerk präsent zu bleiben und ihre Rechte zu erweitern, bevor sie die eigentliche Verschlüsselung durchführen.

Basis der Analyse sind Incident-Response-Untersuchungen aus einem Zeitraum von knapp sechs Monaten. Die Erkenntnisse zeigen, dass Anubis-Affiliates bevorzugt über zwei Vektoren eindringen: die Schwachstelle CitrixBleed 2 (CVE-2025-5777) oder durch gültige VPN-Zugangsdaten, die etwa aus vorgelagerten Kompromitten oder Lecks stammen.

Einmal im Netz etabliert, agieren die Angreifer zunächst unmerklich und erweitern ihre Rechte schrittweise. Im Gegensatz zu massiven Malware-Kampagnen setzen sie auf etablierte Remote-Administration-Tools: ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC und Total Software Deployment. Der Einsatz dieser legitimalen Software erschwert die Detektion erheblich, da solche Werkzeuge in vielen Organisationen alltägliche Betriebsmittel sind. Entscheidend ist nicht ein einzelnes Programm, sondern die ungewöhnliche Abfolge und Häufung von Aktivitäten.

Ziele der Aufklärung sind regelmäßig kritische Infrastrukturelementen wie Microsoft-Remote-Desktop-Server, Domänencontroller, Hypervisoren, Backup-Systeme und NAS-Speicher. Parallel versuchen die Angreifer, alternative Kommunikationskanäle aufzubauen—mittels cloudflared, authentifizierten Proxys oder SSH-basiertem SOCKS-Tunneling. Diese Maßnahmen zielen darauf ab, ihre Tätigkeiten zu verschleiern, Incident-Response zu erschweren und die Wiederherstellung zu behindern.

Für CISOs bietet die Vorhersagbarkeit der Angriffskette ein Erkennungspotenzial: Die Anubis-Affiliates folgen bewährten, aber standardisierten Abläufen. Moderne Defensivstrategien sollten nicht nur auf Malware-Signaturen setzen, sondern kontinuierlich verdächtige Anmeldeversuche, ungewöhnliche Fernwartungsaktivität und anomale laterale Bewegungen im Netzwerk überwachen.


Quelle: www.it-daily.net · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: