Ransomware greift lange vor der Verschlüsselung an : Citrix Bleed 2, BYOVD und Supply-Chain-Zugänge packen Erpressung in undurchsichtige Zugriffsketten
Ransomware-Gruppen verknüpfen bekannte Schwachstellen, legitime Fernwartung, gestohlene Zugangsdaten und kompromittierte Softwarelieferketten zu immer effizienteren Angriffsketten. Die Fälle Anubis, The Gentlemen sowie VECT und TeamPCP sind eindrucksvolle Beispiele, wie stark sich Erpressung inzwischen professionalisiert hat.
Ransomware ist längst nicht mehr nur Verschlüsselung am Ende eines Einbruchs. Aktuelle Analysen von Arctic Wolf, Kaspersky, Expel und Sophos zeigen ein Ökosystem, in dem mehrere Zugriffspfade ineinandergreifen: ausgenutzte Gateway-Schwachstellen, gültige VPN-Zugänge, Bring-your-own-vulnerable-driver-Techniken (BYOVD), legitime Remote-Management-Werkzeuge und gestohlene Zugangsdaten aus Software-Supply-Chain-Angriffen.
Anubis nutzt Citrix Bleed 2 als Einstieg
Besonders deutlich wird diese Entwicklung bei Anubis. Die Ransomware-as-a-Service-Gruppe (RaaS) trat Ende 2024 als Rebranding von Sphinx auf und wurde im Februar 2025 im Untergrundforum Ransomware and Advanced Malware Protection (RAMP) offiziell angekündigt. Laut Ransomware.Live reklamierte die Gruppe bislang 91 Opfer für sich, allein elf davon im Juni 2026. Betroffen sind vor allem Gesundheitswesen, Unternehmensdienstleister, Fertigung, Technologie und Finanzdienstleister; mehr als die Hälfte der Opfer sitzt in den USA.
Arctic Wolf beobachtete bei Anubis-Angriffen sowohl gültige VPN-Zugangsdaten als auch die Ausnutzung von Citrix Bleed 2, der Schwachstelle CVE-2025-5777 in Citrix NetScaler ADC und Gateway. Die Lücke erreicht einen CVSS-Wert von 9,3 und kann bei bestimmten Gateway- oder AAA-Konfigurationen zur Umgehung der Authentifizierung missbraucht werden.
„Obwohl sich die Taktiken zwischen Affiliates unterscheiden, zeigten sich gemeinsame Muster: legitime Remote-Monitoring- und Management-Werkzeuge, Zugriff auf Zugangsdaten und manuelle Hands-on-Keyboard-Verfahren für laterale Bewegung“, so Arctic Wolf. Wiederholt missbrauchten Anubis-Akteure Werkzeuge wie ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC und Total Software Deployment, um sich normaler IT-Aktivität zu verstecken.
Nach dem Einstieg folgten Anmeldungen über Cisco AnyConnect, Remote Desktop Protocol (RDP) und Server Message Block (SMB), anschließend Credential Access, PsExec-Service-Erstellung, RMM-Deployment und Exfiltration über Cloud-Transfer-Werkzeuge. Für Datentransfers kamen unter anderem S3 Browser, rclone, s5cmd, WinSCP und PuTTY zum Einsatz. In einzelnen Fällen richteten die Angreifer zusätzlich cloudflared ein, um Cloudflare-Tunnel in die Opferumgebung aufzubauen.
Abwehrsysteme werden gezielt blind gemacht
Parallel zur Ausbreitung störten die Angreifer Schutz- und Analysemechanismen. Arctic Wolf nennt deaktivierten Echtzeitschutz von Windows Defender, Aktivitäten rund um SophosUninstall, Artefakte von PCHunter sowie gelöschte oder manipulierte Protokolle auf mehreren Systemen. In mindestens einem Fall wurde der Anubis-Encryptor nach der Ausführung gelöscht, um spätere Analysen zu erschweren.
Rubrik Zero Labs hatte bereits 2025 vor einer besonders zerstörerischen Funktion von Anubis gewarnt: Das Modul /WIPEMODE verschlüsselt Dateien nicht nur, sondern macht sie praktisch unbrauchbar. Die Dateien bleiben zwar in den Ordnern sichtbar, werden aber auf 0 KB geleert. Selbst eine spätere Lösegeldzahlung würde den ursprünglichen Inhalt dann nicht automatisch zurückbringen. Genau dieser Droheffekt erhöht den Druck auf Opfer erheblich: Rubrik sprach von einem „verbrannten Zustand“, den Angreifer mit einem einzigen Befehl auslösen können.
The Gentlemen kombiniert Backdoor und BYOVD
Auch The Gentlemen zeigt, wie weit Ransomware-Gruppen technische Eskalation und Tarnung treiben. Kaspersky beschreibt eine Go-basierte Backdoor, die Systeminformationen sammelt, an einen externen Server überträgt und Befehle über eine bidirektionale TCP-Verbindung entgegennimmt. Antwortet der Operator mit dem Byte „c“, führt das Implantat Kommandos über „cmd.exe“ aus; bei „s“ wird ein SOCKS-Proxy aufgebaut.
Kaspersky bewertet diese Funktion als Mittel zur Ausweitung der Angriffskette: Die Backdoor könne „Zwei-Wege-Kommunikation herstellen, Befehle ausführen, einen SOCKS-Proxy einrichten und Informationen sammeln“.
Expel beschreibt zudem einen besonders heiklen Angriffstrick: The Gentlemen nutzte eine bislang unbekannte Schwachstelle in dem wenig verbreiteten Treiber ktapi.sys, der zu einer Schnittstelle von Kontron gehört. Bei solchen BYOVD-Angriffen bringen Angreifer einen verwundbaren, aber grundsätzlich legitimen Treiber auf ein System, um tiefere Rechte zu erhalten. Im konkreten Fall gelangte die Gruppe bis auf Kernel-Ebene, also in einen besonders geschützten Bereich von Windows. Von dort aus konnte sie Schutzfunktionen umgehen und Sicherheitsprozesse von Microsoft, ESET, Palo Alto Networks und SentinelOne beenden. Marcus Hutchins von Expel warnt deshalb, BYOVD bleibe „eine enorme Bedrohung für Unternehmen“, weil Angreifer darüber moderne Endpoint-Security-Systeme binnen Sekunden ausschalten können.
Supply Chain Credentials als Ransomware-Treibstoff
Eine weitere Eskalationsstufe zeigt die Partnerschaft zwischen VECT und TeamPCP. Sophos Counter Threat Unit beschreibt sie als Verbindung von Supply-Chain-basierter Zugangsdaten-Diebstahlkampagne und Ransomware-Ausbringung. TeamPCP wurde in den vergangenen Monaten mit Angriffen auf Open-Source-Ökosysteme in Verbindung gebracht, bei denen bösartiger Code in weit verbreitete Pakete und Werkzeuge eingeschleust wurde. Ziel war der Abzug sensibler Daten aus Entwicklungs- und Unternehmenspipelines sowie eine wurmartige Weiterverbreitung.
Nach Einschätzung von Sophos ermöglicht die Kooperation VECT, Ransomware in Organisationen auszubringen, die zuvor über Trivy- und LiteLLM-Supply-Chain-Angriffe kompromittiert wurden. Zwar fanden Check Point und JUMPSEC technische Fehler im VECT-Encryptor: Dateien über 128 KB werden nicht verschlüsselt, sondern dauerhaft zerstört. TeamPCP erklärte daraufhin, diesen Encryptor nie eingesetzt zu haben, und verwies auf den eigenen Locker CipherForce.
Trotz solcher Schwächen sieht Sophos eine neue Qualität: „Die Verbindung aus großflächigem Supply-Chain-Credential-Diebstahl, reifender RaaS-Operation und Mobilisierung in Untergrundforen bildet ein beispielloses Modell industrialisierter Ransomware-Ausbringung.“
Persistentes Risiko durch gestohlene Zugänge
Das Federal Bureau of Investigation (FBI) warnt in einem Flash Alert, TeamPCP habe sich auch an Erpressung und Kooperationen mit anderen Akteursgruppen beteiligt, Opfer öffentlich benannt und mit der Veröffentlichung gestohlener Daten gedroht. Besonders kritisch ist der langfristige Wert kompromittierter Zugangsdaten: „Betroffene Organisationen sollten exfiltrierte Daten und Zugangsdaten als dauerhaftes Risiko behandeln“, so das FBI.
Für Unternehmen ergibt sich daraus eine klare technische Konsequenz: Ransomware-Abwehr darf nicht erst dort beginnen, wo die Verschlüsselung startet. Wer nur auf den eigentlichen Encryptor wartet, erkennt den Angriff meist zu spät. Moderne Ransomware-Kampagnen bestehen aus mehreren vorgelagerten Phasen: dem Einstieg über Schwachstellen oder gültige Zugangsdaten, der Ausbreitung im Netzwerk, dem Sammeln weiterer Credentials, der Deaktivierung von Schutzsystemen, dem Abfluss sensibler Daten und erst danach der Verschlüsselung oder Zerstörung von Dateien.
Entsprechend muss Verteidigung früher ansetzen. Besonders wichtig sind gehärtete und schnell gepatchte Gateways, konsequent durchgesetzte Multi-Faktor-Authentifizierung, strenge Kontrolle von VPN- und Administratorkonten sowie eine genaue Überwachung legitimer RMM-Werkzeuge. Gerade weil Angreifer Fernwartung, Dateiübertragung oder Cloud-Tunnel bewusst zweckentfremden, reicht es nicht, nur nach eindeutig schädlicher Malware zu suchen.
Hinzu kommen technische Kontrollen gegen BYOVD-Angriffe, etwa durch Treiber-Blocklisten, Endpoint-Regeln und die Einschränkung unnötiger Kernel-naher Komponenten. Nach jedem Vorfall sollten Zugangsdaten, Tokens und Schlüssel schnell rotiert werden, weil kompromittierte Credentials oft noch lange weiterverkauft oder erneut missbraucht werden. Ebenso wichtig sind manipulationssichere Protokolle, zentrale Telemetrie und eine klare Sicht auf Softwarelieferketten, Abhängigkeiten und Build-Umgebungen.
Die zentrale Lehre lautet: Die eigentliche Ransomware ist heute häufig nur noch der letzte Befehl einer bereits weit fortgeschrittenen Angriffskette. Wer diese Kette erst am Ende erkennt, hat wichtige Chancen zur Eindämmung bereits verpasst.
Die folgende Tabelle zeigt zentrale Phasen moderner Ransomware-Angriffsketten – vom Erstzugriff über Tarnung und Datenabfluss bis zur Verschlüsselung – sowie passende Schutzmaßnahmen für Unternehmen:
| Angriffsphase | Typische Technik | Was Unternehmen absichern müssen |
| Erstzugriff | Ausnutzung von Gateway-Schwachstellen, gültige VPN-Zugänge, gestohlene Credentials | Schnelles Patchen exponierter Systeme, konsequente Multi-Faktor-Authentifizierung, starke Kontrolle von VPN- und Administratorkonten |
| Tarnung und Persistenz | Missbrauch legitimer Remote-Management-and-Monitoring-Werkzeuge (RMM), Fernwartung, Cloud-Tunnel | Überwachung erlaubter Admin-Tools, klare Freigabelisten, Erkennung ungewöhnlicher Nutzungsmuster |
| Laterale Bewegung | Remote Desktop Protocol (RDP), Server Message Block (SMB), PsExec, Gruppenrichtlinien | Segmentierung, eingeschränkte Admin-Rechte, Protokollierung privilegierter Aktionen |
| Credential Access | Auslesen von Zugangsdaten, Tokens, Schlüsseln und Konfigurationsdateien | Schnelle Credential-Rotation nach Vorfällen, Schutz von Secrets, Least-Privilege-Prinzip |
| Abschalten der Verteidigung | Bring-your-own-vulnerable-driver-Angriffe (BYOVD), Deaktivierung von Endpoint-Schutz, Log-Manipulation | Treiberkontrolle, Blocklisten, manipulationssichere Protokolle, zentrale Telemetrie |
| Datenabfluss | Nutzung von Transfer-Tools, Cloud-Speichern, SFTP-Clients oder Tunneln | Egress-Monitoring, DLP-Regeln, Kontrolle ungewöhnlicher Datenbewegungen |
| Verschlüsselung oder Zerstörung | Ransomware-Encryptor, Wiper-Funktionen, Löschung von Spuren | Getestete Backups, Immutable Storage, Wiederanlaufpläne, forensische Sicherung |
