Noves tàctiques de ransomware: Citrix Bleed i el risc de la cadena
Analitzem com el grup Anubis utilitza la vulnerabilitat Citrix Bleed 2 i tècniques de BYOVD per infiltrar-se en xarxes corporatives amb gran eficàcia.

El ressorgir de les amenaces persistents: El cas Citrix Bleed 2
El panorama de la ciberseguretat s'enfronta a un nou repte. Investigacions recents han revelat que els grups de ransomware associats a l'operació Anubis han perfeccionat el seu modus operandi, centrant els seus esforços en l'explotació de la vulnerabilitat coneguda com Citrix Bleed 2 (CVE-2025-5777). Aquesta fallada permet als atacants obtenir accés inicial a infraestructures crítiques, esquivant defenses perimetrals que, fins fa poc, es consideraven robustes.
L'evolució del hackeig: BYOVD i moviment lateral
Més enllà de l'accés inicial, els atacants estan emprant una combinació sofisticada d'eines legítimes de Remote Management and Monitoring (RMM) i tècniques de Bring Your Own Vulnerable Driver (BYOVD). Aquesta estratègia no només els permet evadir la detecció de solucions Endpoint Detection and Response (EDR), sinó que també els facilita el moviment lateral dins de la xarxa, una fase crítica en qualsevol hack a gran escala.
"Encara que les tàctiques difereixen entre afiliats, els patrons comuns en l'ús d'eines legítimes i procediments de mans al teclat demostren una professionalització preocupant del cibercrim."
És fonamental recordar que la superfície d'atac és dinàmica. Tal com vam veure en el cas de ChocoPoC: El peligroso hack que acecha a investigadores de vulnerabilidad, els atacants sempre busquen l'eslavó més feble, ja sigui en el programari de gestió o en les credencials de la cadena de subministrament.
Recomanacions per a la mitigació
Per protegir-se davant d'aquestes amenaces, les organitzacions han d'adoptar un enfocament de defensa en profunditat:
- Actualització crítica: Prioritzar el pedaç de tots els dispositius Citrix exposats a internet.
- Monitoratge de RMM: Auditar i restringir l'ús d'eines de gestió remota no autoritzades.
- Higiene de credencials: Implementar autenticació multifactor (MFA) resistent al phishing per evitar que les credencials de la cadena de subministrament siguin el pont d'entrada.
La ciberseguretat actual no permet complaences. La capacitat dels grups de ransomware per adaptar-se a noves vulnerabilitats exigeix que els equips d'IT mantinguin una postura de vigilància constant i una capacitat de resposta ràpida davant de qualsevol comportament anòmal en els seus sistemes.
Font: The Hacker News (https://thehackernews.com/2026/07/ransomware-groups-turn-to-citrix-bleed.html)
Articles relacionats
11 de julio de 2026
Condemna històrica: membre de la banda Ryuk ransomware admet la seva culpabilitat
Un ciutadà armeni es declara culpable als EUA pel desplegament de ransomware Ryuk, afrontant una possible sentència de 15 anys de presó.
11 de julio de 2026
Historic Conviction: Ryuk Ransomware Gang Member Admits Guilt
An Armenian national pleads guilty in the U.S. for deploying Ryuk ransomware and faces a potential 15-year prison sentence.
11 de julio de 2026
Condena histórica: miembro de la banda Ryuk ransomware admite su culpa
Un ciudadano armenio se declara culpable en EE. UU. por el despliegue de ransomware Ryuk, enfrentando una posible sentencia de 15 años de prisión.
10 de julio de 2026
Hackers exploten Microsoft Entra: Nova vulnerabilitat en passkeys
Un grup d'actors maliciosos utilitza enginyeria social per comprometre comptes de Microsoft 365 mitjançant falsos registres de passkeys a Entra.
Carregant comentaris...