Teknik Baru Ransomware Anubis: Citrix Bleed 2 hingga BYOVD


Ilustrasi Ransomware

Ilustrasi Ransomware

Lanskap ancaman ransomware terus mengalami perubahan seiring berkembangnya teknik yang digunakan para pelaku kejahatan siber. Jika sebelumnya serangan banyak mengandalkan email phishing atau eksploitasi perangkat lunak yang belum diperbarui, kini kelompok ransomware mulai menggabungkan berbagai metode sekaligus untuk meningkatkan peluang keberhasilan serangan.

Laporan terbaru dari perusahaan keamanan siber Arctic Wolf mengungkap bahwa kelompok ransomware Anubis kini aktif mengeksploitasi kerentanan Citrix Bleed 2 (CVE-2025-5777) sebagai salah satu jalur utama untuk memperoleh akses awal ke jaringan organisasi. Selain memanfaatkan celah keamanan tersebut, para pelaku juga menggunakan kredensial VPN yang valid, alat administrasi legal, hingga layanan akses jarak jauh agar aktivitas mereka sulit dibedakan dari pekerjaan administrator TI.

Strategi ini menunjukkan bahwa kelompok ransomware modern tidak lagi hanya mengandalkan malware, tetapi juga memanfaatkan teknik yang memungkinkan mereka beroperasi secara diam-diam selama mungkin sebelum akhirnya mengenkripsi data korban.

 

Memanfaatkan Perangkat Lunak Resmi agar Tidak Mencurigakan

Dalam investigasinya, Arctic Wolf menemukan bahwa meskipun setiap afiliasi Anubis memiliki pola serangan yang sedikit berbeda, terdapat sejumlah kesamaan dalam tahapan kompromi sistem.

Para pelaku diketahui memanfaatkan berbagai perangkat lunak Remote Management and Monitoring (RMM) yang sebenarnya digunakan secara sah oleh administrator teknologi informasi. Beberapa di antaranya adalah ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC, dan Total Software Deployment.

Dengan menggunakan aplikasi yang memang umum dipakai perusahaan, aktivitas penyerang menjadi jauh lebih sulit dideteksi oleh sistem keamanan maupun tim administrator. Lalu lintas jaringan yang dihasilkan terlihat seperti aktivitas administrasi biasa sehingga tidak langsung memicu alarm keamanan.

Selain itu, kelompok Anubis juga menjalankan aktivitas hands-on-keyboard, yaitu mengendalikan sistem korban secara manual setelah berhasil memperoleh akses. Teknik ini memungkinkan mereka menyesuaikan langkah serangan sesuai kondisi jaringan target.

 

Anubis Kian Agresif Menargetkan Berbagai Industri

Anubis merupakan kelompok Ransomware-as-a-Service (RaaS) yang muncul pada akhir 2024 sebagai hasil rebranding dari ransomware Sphinx. Operasi mereka kemudian diumumkan secara resmi di forum bawah tanah Ransomware and Advanced Malware Protection (RAMP) pada Februari 2025.

Model RaaS memungkinkan operator utama menyediakan infrastruktur ransomware kepada para afiliasi yang bertugas mencari korban. Sebagai imbalannya, hasil uang tebusan dibagi sesuai kesepakatan.

Data dari Ransomware.Live menunjukkan bahwa hingga saat ini Anubis telah mengklaim menyerang 91 organisasi, dengan 11 korban baru tercatat hanya selama Juni 2026.

Korban berasal dari berbagai sektor penting, antara lain layanan kesehatan, layanan bisnis, manufaktur, teknologi, hingga jasa keuangan. Sebagian besar korban berada di Amerika Serikat, disusul Inggris, Australia, Prancis, dan Kanada.

Target yang beragam menunjukkan bahwa kelompok ini lebih memilih organisasi yang memiliki kemampuan membayar uang tebusan dibandingkan berfokus pada industri tertentu.

 

Iming-iming Pembagian Tebusan 80 Persen

Laporan Rubrik Zero Labs sebelumnya mengungkap bahwa Anubis menawarkan skema pembagian hasil yang cukup besar kepada para afiliasinya.

Kelompok tersebut menjanjikan 80 persen dari uang tebusan kepada pelaku yang berhasil menginfeksi korban. Persentase yang tinggi ini menjadi salah satu daya tarik bagi pelaku kejahatan siber untuk bergabung dalam operasi Anubis.

Tidak hanya itu, Anubis juga membekali ransomware mereka dengan fitur penghancur data permanen bernama /WIPEMODE.

Berbeda dengan ransomware biasa yang masih memungkinkan data dipulihkan apabila korban memperoleh kunci dekripsi, fitur ini mampu mengubah seluruh file menjadi berukuran 0 KB secara permanen. File memang masih terlihat berada di dalam folder, tetapi seluruh isinya telah hilang dan tidak dapat dipulihkan.

Kemampuan tersebut memberikan tekanan psikologis yang jauh lebih besar kepada korban karena data dapat benar-benar musnah apabila pelaku mengaktifkan fitur tersebut.

 

Citrix Bleed 2 Jadi Jalur Masuk Baru

Dalam serangan yang diamati sepanjang tahun ini, Arctic Wolf menemukan dua metode utama yang digunakan Anubis untuk memperoleh akses awal.

  • Pertama adalah menggunakan kredensial VPN yang masih valid.
  • Kedua adalah mengeksploitasi kerentanan Citrix Bleed 2 (CVE-2025-5777) yang memiliki skor keparahan CVSS 9,3.

Kerentanan ini memengaruhi perangkat Citrix NetScaler ADC dan Citrix Gateway. Apabila perangkat dikonfigurasi sebagai Gateway atau AAA Virtual Server, penyerang dapat melewati proses autentikasi sehingga memperoleh akses tanpa harus mengetahui kata sandi korban.

Sementara itu, asal-usul kredensial VPN yang digunakan masih belum diketahui secara pasti. Namun para peneliti memperkirakan data login tersebut kemungkinan berasal dari kebocoran sebelumnya, pembelian melalui Initial Access Broker (IAB), serangan credential stuffing, maupun malware pencuri informasi yang telah lebih dahulu menginfeksi perangkat korban.

Selain itu, Arctic Wolf juga menemukan aktivitas login menggunakan Cisco AnyConnect VPN dari sejumlah penyedia layanan hosting seperti The Constant Company dan ServerMania, yang mengindikasikan adanya infrastruktur khusus yang digunakan pelaku untuk menyamarkan lokasi serangan.

 

Bergerak Diam-diam di Dalam Jaringan

Setelah berhasil masuk ke jaringan organisasi, pelaku tidak langsung menjalankan ransomware. Sebaliknya, mereka lebih dahulu melakukan lateral movement menggunakan Remote Desktop Protocol (RDP) dan PsExec untuk berpindah dari satu komputer ke komputer lain.

Pada tahap ini berbagai aplikasi RMM kembali dipasang agar penyerang dapat mempertahankan akses, menjalankan perintah dari jarak jauh, mentransfer file, serta mengendalikan sistem tanpa menarik perhatian administrator.

Dalam beberapa kasus, pelaku bahkan membuat Cloudflare Tunnel (cloudflared) sehingga dapat mengakses lingkungan korban melalui jalur komunikasi terenkripsi yang lebih sulit dideteksi oleh perangkat keamanan jaringan.

Pendekatan semacam ini menunjukkan bahwa serangan ransomware modern telah berkembang menjadi operasi yang sangat terencana, bukan sekadar menjalankan malware secara acak.

 

Fokus Mengumpulkan Kredensial dan Mencuri Data

Tahap berikutnya adalah memperluas hak akses di dalam jaringan. Para pelaku mengumpulkan sebanyak mungkin kredensial administrator agar dapat mengendalikan lebih banyak server maupun komputer pengguna.

Sebelum mengenkripsi data, mereka lebih dahulu melakukan pencurian informasi menggunakan berbagai aplikasi legal seperti S3 Browser, rclone, s5cmd, WinSCP, dan PuTTY.

Data yang berhasil dicuri kemudian dipindahkan ke server eksternal sebagai bagian dari strategi double extortion, yaitu korban tidak hanya diancam kehilangan akses terhadap data, tetapi juga diancam data sensitif tersebut akan dipublikasikan apabila menolak membayar uang tebusan.

Untuk menghambat proses investigasi, pelaku juga menonaktifkan perlindungan real-time Windows Defender, menghapus perangkat lunak keamanan Sophos, memanfaatkan artefak PCHunter, serta menghapus berbagai log sistem agar jejak aktivitas mereka sulit ditelusuri.

Dalam salah satu insiden, file encryptor Anubis bahkan langsung dihapus setelah selesai dijalankan sehingga menyulitkan analis forensik memperoleh bukti digital.

 

The Gentlemen Gunakan Teknik BYOVD

Selain Anubis, perusahaan keamanan Kaspersky juga mengungkap aktivitas kelompok ransomware The Gentlemen yang menggunakan pendekatan berbeda. Kelompok ini diketahui memanfaatkan kerentanan yang telah diketahui publik serta kredensial login yang dicuri untuk menyusupi organisasi target.

Mereka juga memasang backdoor berbasis bahasa Go yang memungkinkan operator menjalankan berbagai perintah dari jarak jauh, mengumpulkan informasi sistem, membuat koneksi SOCKS Proxy, hingga memperluas serangan ke komputer lain melalui Group Policy maupun PsExec.

Yang menarik, kelompok ini turut memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD), yakni menggunakan driver Windows yang memiliki kerentanan untuk memperoleh akses tingkat kernel.

Dengan hak akses tersebut, malware mampu menonaktifkan berbagai perangkat lunak keamanan sebelum ransomware dijalankan.

 

Eksploitasi Driver Zero-Day

Penelitian Expel menemukan bahwa The Gentlemen juga menggunakan driver ktapi.sys milik Kontron yang mengandung kerentanan zero-day. Driver tersebut dimanfaatkan untuk memperoleh akses kernel sekaligus mematikan berbagai solusi keamanan milik Microsoft, ESET, Palo Alto Networks, dan SentinelOne.

Menurut peneliti Expel Marcus Hutchins, teknik BYOVD masih menjadi salah satu ancaman terbesar karena memungkinkan pelaku melumpuhkan sistem keamanan endpoint modern hanya dalam hitungan detik.

Bahkan penggunaan Windows versi terbaru dengan berbagai fitur mitigasi eksploitasi belum mampu memberikan perlindungan secara menyeluruh apabila driver rentan berhasil dimuat ke dalam sistem.

 

TeamPCP dan VECT Satukan Kekuatan

Ancaman ransomware juga semakin berkembang melalui kolaborasi antar kelompok kejahatan siber. Sophos Counter Threat Unit mengungkap bahwa TeamPCP dan VECT menjalin kerja sama untuk menggabungkan pencurian kredensial melalui serangan rantai pasok perangkat lunak dengan penyebaran ransomware.

Kolaborasi tersebut memungkinkan ransomware didistribusikan ke organisasi yang sebelumnya telah disusupi melalui proyek open source seperti Trivy dan LiteLLM. Sebelum bekerja sama dengan VECT, TeamPCP diketahui mengoperasikan ransomware CipherForce yang kemudian berganti identitas menjadi TeamPCP pada pertengahan 2026.

 

Serangan Rantai Pasok Menjadi Ancaman Serius

Dalam beberapa bulan terakhir, TeamPCP dikaitkan dengan berbagai serangan terhadap ekosistem open source. Kelompok ini menyisipkan kode berbahaya ke dalam paket perangkat lunak yang banyak digunakan pengembang sehingga malware dapat menyebar secara otomatis ke lingkungan pengembangan perusahaan.

Teknik ini jauh lebih berbahaya dibandingkan serangan langsung karena korban dapat terinfeksi hanya dengan memperbarui pustaka atau perangkat lunak yang dipercaya.

Meski analisis Check Point dan JUMPSEC menemukan ransomware VECT memiliki kelemahan teknis yang menyebabkan file berukuran lebih dari 128 KB justru rusak permanen alih-alih terenkripsi, Sophos menilai kerja sama antara TeamPCP dan VECT tetap menjadi perkembangan yang patut diwaspadai.

Kombinasi antara pencurian kredensial skala besar, serangan rantai pasok, dan model Ransomware-as-a-Service dinilai mampu mempercepat penyebaran ransomware sekaligus menurunkan hambatan bagi pelaku kejahatan siber baru.

FBI pun mengingatkan bahwa organisasi yang terdampak kampanye semacam ini harus menganggap seluruh data maupun kredensial yang telah dicuri sebagai ancaman jangka panjang. Meski serangan awal telah dihentikan, informasi yang berhasil dicuri berpotensi diperjualbelikan atau dimanfaatkan kembali oleh kelompok lain untuk melancarkan serangan lanjutan di masa mendatang.

Bagikan artikel ini

Komentar ()

Video Terkait