Lühidalt: Anubis’e ründajad kasutavad võrku tungimiseks ja lunavara käivitamise ettevalmistamiseks legitiimseid IT-tööriistu ning etteaimatavaid ründemustreid, kuid see annab ettevõtetele käitumisjälgimise abil võimaluse rünnak enne krüpteerimist avastada.
Arctic Wolf Labs analüüsis Anubis’e lunavararühmituse ründemustreid ja selgus: ründajad ei kasuta ekspluateerimiskomplekte ega uudset pahavara, vaid kuritarvitavad legitiimseid haldustööriistu, näiteks ScreenConnecti, Zoho Assisti ja kaugtöölauda, et jääda võrku pikaks ajaks kohale ja laiendada oma õigusi enne tegelikku krüpteerimist.
Analüüsi aluseks on intsidentidele reageerimise uurimised ligikaudu kuuekuulise perioodi jooksul. Tulemused näitavad, et Anubis’e partnerid tungivad võrku eelistatult kahe vektori kaudu: haavatavuse CitrixBleed 2 (CVE-2025-5777) ärakasutamise teel või kehtivate VPN-i juurdepääsuandmete abil, mis pärinevad näiteks varasematest kompromiteerimistest või andmelekketest.
Kui ründajad on kord võrku pääsenud, tegutsevad nad esialgu märkamatult ja laiendavad oma õigusi järk-järgult. Erinevalt massilistest pahavarakampaaniatest kasutavad nad tunnustatud kaughalduse tööriistu: ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC ja Total Software Deployment. Selliste legitiimsete programmide kasutamine raskendab oluliselt avastamist, kuna paljudes organisatsioonides on need tööriistad igapäevased töövahendid. Määravaks pole mitte üksik programm, vaid tegevuste ebatavaline järjekord ja kuhjumine.
Luuretegevuse sihtmärkideks on tavaliselt kriitilised infrastruktuurielemendid, nagu Microsofti kaugtöölaua serverid, domeenikontrollerid, hüperviisorid, varundussüsteemid ja NAS-salvestid. Paralleelselt üritavad ründajad luua alternatiivseid sidekanaleid — kasutades cloudflaredi, autenditud puhverservereid või SSH-põhist SOCKS-tunnelduse. Nende meetmete eesmärk on varjata oma tegevust, takistada intsidentidele reageerimist ja pärssida taastamist.
Infoturbejuhtidele pakub ründeahela etteaimatavus avastamisvõimalust: Anubis’e partnerid järgivad tõestatud, kuid standardiseeritud tegevuskäike. Kaasaegsed kaitsestrateegiad ei tohiks toetuda ainult pahavara signatuuridele, vaid peaksid pidevalt jälgima kahtlasi sisselogimiskatseid, ebatavalist kaughaldustegevust ja anomaalseid külgsuunalisi liikumisi võrgus.
Allikas: www.it-daily.net · Avaldatud 3. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimise ja klassifitseerimise teostas Lumi News Pipeline v1.7.2.