Novas táticas de ransomware: Citrix Bleed 2 e BYOVD ameaçam empresas

Novas táticas de ransomware: Citrix Bleed 2 e BYOVD ameaçam empresas

As táticas de ransomware mudaram radicalmente em 2026. Em vez de depender apenas de e-mails maliciosos ou arquivos infectados, grupos criminosos passaram a explorar vulnerabilidades críticas de infraestrutura, abusar de ferramentas legítimas de administração remota e até usar drivers vulneráveis para desativar soluções de segurança no nível do kernel.

O cenário atual mostra uma clara industrialização do crime digital. Operações de Ransomware como Serviço (RaaS) oferecem suporte técnico, afiliados, painéis de controle e campanhas coordenadas contra empresas de todos os portes. Entre os nomes que mais chamaram atenção nos relatórios recentes estão Anubis, The Gentlemen e a aliança VECT/TeamPCP.

Neste artigo, vamos analisar como esses grupos operam, por que a falha Citrix Bleed 2 (CVE-2025-5777) se tornou um alvo prioritário e como técnicas como BYOVD (Bring Your Own Vulnerable Driver) representam um dos maiores desafios para administradores de sistemas e equipes de segurança.

Anubis e a vulnerabilidade Citrix Bleed 2

O grupo Anubis ganhou notoriedade ao explorar a falha CVE-2025-5777, apelidada de Citrix Bleed 2. A vulnerabilidade afeta dispositivos NetScaler ADC e NetScaler Gateway e recebeu pontuação CVSS 9,3, indicando risco crítico.

O problema permite o roubo de sessões e credenciais, abrindo caminho para invasões sem a necessidade de autenticação tradicional. Em ambientes corporativos, isso significa que um gateway VPN desatualizado pode se tornar a porta de entrada para todo o domínio.

Após o acesso inicial, o Anubis evita ferramentas claramente maliciosas e passa a usar softwares legítimos de RMM (Remote Monitoring and Management), como:

  • ScreenConnect
  • Zoho Assist
  • MeshAgent

Essas ferramentas permitem movimentação lateral via RDP e PsExec com muito menos chance de gerar alertas, já que muitas empresas utilizam esses aplicativos no dia a dia.

Ransomware

A armadilha do WIPEMODE

O aspecto mais preocupante do Anubis é o módulo WIPEMODE. Diferentemente de um ransomware tradicional, que criptografa os arquivos para posterior recuperação mediante pagamento, o WIPEMODE destrói os dados permanentemente.

Os arquivos são sobrescritos e reduzidos a 0 KB, tornando a recuperação praticamente impossível. Em outras palavras, a vítima pode pagar o resgate e ainda assim perder tudo.

Essa estratégia desmonta a narrativa de que “pagar resolve o problema” e reforça a importância de backups imutáveis e offline.

The Gentlemen e as novas táticas de ransomware com BYOVD

Outro grupo em destaque é o The Gentlemen, que apostou fortemente na técnica BYOVD (Bring Your Own Vulnerable Driver).

O conceito é simples e extremamente perigoso: o invasor instala um driver legítimo, porém vulnerável, para obter privilégios elevados no kernel do Windows. Como o driver possui assinatura válida, ele pode contornar diversas proteções modernas.

Com acesso ao kernel, os criminosos conseguem:

  • Desabilitar antivírus
  • Encerrar agentes EDR
  • Manipular processos protegidos
  • Ocultar atividades maliciosas

O caso do driver ktapi.sys

O relatório aponta o uso do driver ktapi.sys, associado a um componente de terceiros da Kontron. O grupo explorou uma vulnerabilidade de dia zero para derrubar soluções como:

  • Microsoft Defender
  • ESET
  • SentinelOne

O ataque ocorre antes da criptografia, garantindo que as ferramentas de proteção estejam inoperantes quando o ransomware for executado.

Backdoor em Go e proxy SOCKS

Além do BYOVD, o The Gentlemen utiliza um backdoor desenvolvido em Go com comunicação bidirecional via proxy SOCKS.

Isso permite que os operadores mantenham persistência, encaminhem tráfego interno e controlem máquinas comprometidas de forma mais discreta.

A industrialização do crime: VECT e TeamPCP

As táticas de ransomware também evoluíram para atingir a cadeia de suprimentos de software. A parceria entre VECT e TeamPCP demonstra como grupos criminosos estão tentando distribuir malware em larga escala.

Os relatórios citam tentativas de comprometimento envolvendo ferramentas populares do ecossistema de desenvolvimento e containers, como Trivy e LiteLLM.

O objetivo é simples: em vez de invadir uma empresa por vez, comprometer um componente amplamente utilizado e atingir centenas de organizações simultaneamente.

Erros de código que destroem dados

Curiosamente, nem todos os grupos demonstram competência técnica. O ransomware associado à VECT apresentou um bug grave que corrompia arquivos maiores que 128 KB.

Na prática, os próprios criminosos destruíam dados que pretendiam usar como moeda de troca. O problema gerou atritos com a TeamPCP e expôs disputas internas típicas do mercado clandestino de RaaS.

Isso revela um ponto importante: mesmo quando há intenção de restaurar os arquivos após o pagamento, falhas de engenharia podem tornar a recuperação impossível.

Como se proteger contra o ransomware moderno

Diante desse cenário, a defesa precisa ir além do antivírus tradicional. Relatórios da Arctic Wolf, Kaspersky e Sophos convergem em algumas recomendações essenciais.

Medidas prioritárias para administradores:

  • Aplicar patches imediatamente: Atualize dispositivos VPN, Gateway e NetScaler, especialmente contra a CVE-2025-5777.
  • Auditar ferramentas RMM: Mapeie o uso de ScreenConnect, Zoho Assist, MeshAgent e outras soluções de acesso remoto.
  • Implementar listas de bloqueio de drivers vulneráveis: Ative políticas de Microsoft Vulnerable Driver Blocklist e mantenha-as atualizadas.
  • Usar backups imutáveis: Mantenha cópias offline e testadas regularmente.
  • Monitorar comportamento anômalo: Crie alertas para PsExec, criação de serviços remotos e instalação de drivers.
  • Segmentar a rede: Limite a movimentação lateral entre servidores, estações e ambientes críticos.

Conclusão e visão geral

O panorama de 2026 mostra que as táticas de ransomware estão cada vez mais sofisticadas e perigosas. Grupos como Anubis, The Gentlemen e VECT/TeamPCP combinam exploração de vulnerabilidades críticas, abuso de ferramentas legítimas e ataques no nível do kernel para maximizar o impacto.

Ao mesmo tempo, os próprios relatórios revelam uma verdade desconfortável: pagar o resgate não garante recuperação. Seja pelo uso deliberado de módulos destrutivos como o WIPEMODE ou por falhas de programação nos criptografadores, os dados podem ser perdidos permanentemente.

Para administradores e equipes de segurança, a prioridade deve ser reduzir a superfície de ataque, acelerar a aplicação de patches, controlar ferramentas RMM e bloquear drivers vulneráveis. A era do ransomware oportunista está dando lugar a operações altamente profissionais, e a preparação preventiva nunca foi tão importante.