fortibleed citrixbleed 2 ransomware inc lynx anubis

FortiBleed e CitrixBleed 2 alimentano ransomware INC, Lynx e Anubis

🛡️ Executive Summary

  • FortiBleed collega il furto massivo di credenziali FortiGate ai deployment ransomware di INC Ransom e Lynx.
  • Anubis ransomware sfrutta CitrixBleed 2, credenziali VPN valide e Cloudflared per accesso iniziale, persistenza e movimento laterale.
  • Le organizzazioni devono monitorare appliance esposte, tool RMM non autorizzati, tunnel outbound e accessi anomali verso infrastrutture critiche.

Le campagne ransomware del 2026 confermano una convergenza sempre più stretta tra furto di credenziali, sfruttamento di vulnerabilità note e abuso di strumenti legittimi di amministrazione remota. FortiBleed, inizialmente emersa come operazione di credential harvesting contro firewall FortiGate, viene ora collegata da SOCRadar alle attività di INC Ransom e Lynx, due operazioni ransomware-as-a-service attive contro organizzazioni enterprise. In parallelo, Arctic Wolf ha documentato intrusioni attribuite ad affiliati Anubis ransomware in cui compaiono CitrixBleed 2, credenziali VPN valide, tool RMM commerciali e tunnel Cloudflared per mantenere accesso agli ambienti compromessi. Il quadro che emerge è quello di un ecosistema criminale sempre più industrializzato, nel quale gli accessi iniziali ottenuti tramite appliance perimetrali diventano merce operativa per ransomware, esfiltrazione e doppia estorsione. Per le aziende, firewall, gateway VPN, Citrix NetScaler, tunnel outbound e strumenti remoti non sono più componenti tecnici isolati, ma superfici critiche da monitorare con priorità assoluta.

FortiBleed diventa una pipeline per INC Ransom e Lynx

Il collegamento tra FortiBleed e i gruppi INC Ransom e Lynx segna un passaggio importante nella comprensione dell’operazione. La campagna non appare più soltanto come un’attività di raccolta credenziali su larga scala, ma come una vera pipeline di accesso iniziale per deployment ransomware. Secondo SOCRadar, un operatore legato all’infrastruttura di FortiBleed è stato osservato mentre lavorava sui pannelli di negoziazione di entrambe le operazioni ransomware, elemento che connette direttamente il furto di credenziali FortiGate alla fase di estorsione. INC Ransom è attivo dal 2023, mentre Lynx è emerso circa un anno dopo ed è considerato da molti analisti una variante o evoluzione operativa dello stesso ecosistema. La sovrapposizione tra access broker e ransomware operator dimostra che il valore delle credenziali sottratte non resta confinato alla rivendita nei mercati underground, ma può essere integrato direttamente in intrusioni con cifratura di endpoint, esfiltrazione di dati e negoziazione del riscatto.

FortigateSniffer intercetta credenziali su scala globale

Il cuore tecnico di FortiBleed è uno strumento personalizzato in Golang denominato FortigateSniffer, progettato per intercettare passivamente traffico di autenticazione sui dispositivi FortiGate compromessi. Lo strumento abusa del comando nativo diagnose sniffer packet di FortiOS, estendendo la raccolta a oltre due dozzine di protocolli e trasformando firewall perimetrali in sensori clandestini per il furto di credenziali. SOCRadar indica più di 430.000 firewall FortiGate presi di mira a livello globale e ha identificato circa 200 server operativi aggiuntivi, tra sniffer e scanner, rispetto all’infrastruttura inizialmente nota. L’attività di scansione ha coinvolto circa 11.250 portali FortiGate in oltre 150 Paesi, con accesso amministrativo confermato su 409 target. Su 354 sistemi gli aggressori avrebbero completato l’intera catena di attacco, dalla compromissione VPN all’accesso al domain controller, fino al raggiungimento di privilegi domain admin. Questi numeri mostrano una campagna organizzata, non opportunistica, capace di convertire credenziali raccolte passivamente in compromissioni profonde di ambienti Active Directory.

INC e Lynx mostrano un modello ransomware diviso per ruoli

L’indagine su FortiBleed evidenzia anche la maturità organizzativa dell’operazione. La documentazione interna osservata da SOCRadar descrive una struttura di circa 20 persone, con una chiara divisione tra operatori principali, specialisti tecnici e livelli junior di supporto. Questo modello è coerente con l’evoluzione del ransomware moderno, dove il gruppo che sviluppa o gestisce il brand RaaS non coincide sempre con chi ottiene l’accesso iniziale, effettua ricognizione, esfiltra dati o conduce la negoziazione. Il dato più rilevante è la conferma di almeno 12 deployment ransomware derivati da accessi collegati a FortiBleed, con centinaia di endpoint crittografati nelle organizzazioni colpite. La relazione tra INC Ransom, Lynx e l’infrastruttura di credential harvesting riduce la distanza tra compromissione silenziosa e impatto distruttivo. Per i difensori, questo significa che la semplice presenza di credenziali FortiGate esposte o compromesse deve essere trattata come possibile precursore di un attacco ransomware, non come incidente limitato alla rotazione delle password.

Anubis sfrutta CitrixBleed 2 e credenziali VPN valide

Annuncio

Sul fronte Anubis, Arctic Wolf ha osservato intrusioni del 2026 in cui gli affiliati combinano sfruttamento di CitrixBleed 2 e accessi VPN validi. La vulnerabilità, tracciata come CVE-2025-5777, riguarda dispositivi Citrix NetScaler ADC e NetScaler Gateway configurati come Gateway o virtual server AAA e consente disclosure di memoria pre-autenticazione. Il rischio operativo è elevato perché il bug può permettere il recupero di token di sessione validi e il bypass dell’autenticazione multifattore, replicando la logica già vista nella precedente ondata CitrixBleed. Gli attaccanti hanno inoltre utilizzato credenziali Cisco AnyConnect VPN da indirizzi IP associati a provider di hosting e VPS, segno di un accesso iniziale che può derivare da broker, infostealer, credential stuffing o precedenti compromissioni. Dopo l’accesso, la catena prosegue con attività su RDP, SMB, creazione di servizi tramite PsExec, raccolta credenziali e preparazione dell’ambiente per esfiltrazione e cifratura.

Cloudflared e RMM legittimi mascherano la persistenza

Gli affiliati Anubis non si affidano soltanto all’exploit iniziale, ma costruiscono persistenza usando strumenti legittimi difficili da distinguere dall’attività amministrativa. Cloudflared, il client di Cloudflare Tunnel, viene installato su server Windows o dispositivi NAS per creare tunnel outbound verso infrastrutture gestite tramite Cloudflare, aggirando firewall inbound e riducendo la visibilità sui canali di comando. In alcuni casi gli aggressori configurano account amministrativi locali su Synology NAS, trasferiscono file via SFTP, avviano tunnel in background con nohup e usano HTTP/2 o forwarding dinamico SSH per instradare il traffico. Accanto a Cloudflared compaiono tool RMM come ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC e altri strumenti commerciali. Questa scelta permette agli attaccanti di mimetizzarsi nei flussi IT ordinari, mantenere controllo remoto, trasferire file ed eseguire codice senza introdurre immediatamente malware riconoscibile. Il confine tra amministrazione legittima e intrusione diventa quindi più difficile da leggere senza una baseline comportamentale accurata.

Credential access ed esfiltrazione precedono la cifratura

Le intrusioni Anubis seguono un percorso ormai tipico delle operazioni ransomware mature. Dopo l’accesso iniziale e la persistenza, gli attaccanti puntano all’espansione laterale e alla raccolta credenziali. Vengono utilizzati strumenti come Mimikatz, estrazioni di ntds.dit, accessi tramite RDP, condivisioni SMB e servizi creati con PsExec. La fase di esfiltrazione impiega strumenti legittimi o facilmente reperibili come S3 Browser, rclone, s5cmd, WinSCP e PuTTY, prima della distribuzione dell’encryptor. In parallelo, gli affiliati cercano di indebolire le difese disattivando la protezione in tempo reale di Windows Defender, rimuovendo agent di sicurezza come Sophos, manipolando log e cancellando artefatti del payload dopo l’esecuzione. Anubis dispone di componenti multi-piattaforma per Windows e Linux, caratteristica che aumenta il rischio negli ambienti ibridi dove server applicativi, NAS e sistemi di virtualizzazione possono convivere nella stessa rete.

Le campagne mostrano la fusione tra IAB e RaaS

Il confronto tra FortiBleed e Anubis evidenzia una trasformazione più ampia del cybercrime. Gli Initial Access Broker non si limitano più a vendere accessi in modo separato, ma diventano parte integrata della filiera ransomware o collaborano direttamente con gruppi RaaS. Nel caso FortiBleed, l’accesso amministrativo a firewall perimetrali e la compromissione di domain controller generano un percorso quasi diretto verso INC Ransom e Lynx. Nel caso Anubis, la combinazione tra vulnerabilità Citrix, credenziali VPN, tool RMM e tunnel Cloudflare permette agli affiliati di operare con tecniche miste, alternando exploit, accessi validi e living-off-the-land. Questo modello riduce i tempi tra compromissione iniziale e impatto finale, aumentando la pressione sui team di sicurezza. Una credenziale rubata, un token di sessione NetScaler o un tunnel Cloudflared non autorizzato possono rappresentare la fase iniziale di una catena che termina con cifratura, esfiltrazione e ricatto pubblico.

Difesa: patch, monitoraggio dei tunnel e controllo degli accessi

Le organizzazioni che utilizzano FortiGate, Citrix NetScaler, VPN aziendali e strumenti RMM devono trattare queste superfici come asset ad alta criticità. Per FortiBleed è essenziale verificare l’esposizione degli apparati, ruotare credenziali amministrative e VPN, controllare accessi anomali, analizzare eventuali comandi diagnose sniffer packet sospetti e cercare tracce di accesso al domain controller successive a login FortiGate. Per CitrixBleed 2, la priorità è applicare patch, invalidare sessioni, ruotare token e verificare eventuali bypass MFA. Sul piano operativo, i SOC devono monitorare l’installazione di Cloudflared, l’avvio di tunnel outbound non autorizzati, la comparsa di tool RMM non previsti, l’uso anomalo di PsExec, traffico verso bucket cloud e comandi di esfiltrazione tramite rclone o s5cmd. La lezione comune è chiara: il ransomware non inizia con l’encryptor, ma con credenziali, appliance esposte e canali remoti che restano invisibili finché non è troppo tardi.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto