O ransomware Anubis está invadindo redes corporativas pela falha Citrix Bleed 2 (CVE-2025-5777), que rouba tokens de sessão e ignora a autenticação em dois fatores. Com 91 vítimas confirmadas até julho de 2026, o grupo apaga arquivos a zero quilobyte — mesmo depois de você pagar o resgate.

Resumo — pontos-chave

  • Falha: CVE-2025-5777, CVSS 9.3, vaza memória do NetScaler e rouba cookies de sessão ativos.
  • Bypass: o atacante se passa por um usuário já autenticado, driblando MFA e senha.
  • Agressor: Anubis, grupo de ransomware-as-a-service que oferece 80% do resgate a afiliados.
  • Castigo: o módulo WIPEMODE reduz arquivos a 0 KB, mesmo após o pagamento.
  • Ação imediata: atualizar o Citrix NetScaler e encerrar todas as sessões ativas.

Entenda a Citrix Bleed 2

A Citrix Bleed 2 é o apelido dado à vulnerabilidade CVE-2025-5777, uma falha crítica de leitura fora dos limites de memória (out-of-bounds read) que afeta o Citrix NetScaler ADC e o NetScaler Gateway. A exploração foi confirmada desde o início de junho de 2026 e entrou para o catálogo de vulnerabilidades conhecidas e exploradas (KEV) da agência norte-americana CISA, conforme registra o Cybersecurity Dive.

O problema está em como o appliance trata requisições HTTP quando configurado como Gateway virtual ou servidor AAA. Em vez de quebrar uma senha, o atacante envia requisições manipuladas que fazem o NetScaler devolver pedaços da memória interna — e nessa memória estão os cookies de sessão de usuários autenticados. Com o cookie em mãos, o invasor assume a identidade da vítima sem precisar de login nem de segundo fator, como detalha o Splunk Threat Research Team.

A gravidade é amplificada por um detalhe técnico: proof-of-concept públicos já circulam desde junho, o que rebaixou o ataque a algo trivial de executar. O BleepingComputer alertou que o exploit consegue roubar tokens de sessão com facilidade, abrindo a porta para qualquer grupo de ransomware que saiba rodar um script.

Como o Anubis entra na rede

O Anubis é um grupo de ransomware-as-a-service (RaaS) que surgiu no final de 2024 como rebrand do antigo Sphinx e foi anunciado oficialmente no fórum underground RAMP em fevereiro de 2025. Segundo dados da plataforma Ransomware.Live citados pelo The Hacker News, a gangue já reivindicou 91 vítimas em seu site de vazamento, com 11 somente em junho de 2026.

A investigação da Arctic Wolf mostra dois caminhos principais de entrada. O primeiro é a exploração direta da Citrix Bleed 2, que entrega uma sessão válida sem senha. O segundo são credenciais de VPN válidas — obtidas por vazamentos anteriores, informações roubadas por stealers ou compradas de corretores de acesso inicial. Em ambos os casos, a autenticação em dois fatores não serve de barreira, porque o atacante reutiliza uma sessão que já passou por ela.

Os alvos preferidos são saúde, serviços empresariais, manufatura, tecnologia e serviços financeiros — setores fortemente presentes na economia brasileira e que costumam manter appliances Citrix expostos à internet para acesso remoto de funcionários.

O modo “terra arrasada”

O detalhe mais perturbador do Anubis é o módulo WIPEMODE. Quando ativado, ele não apenas criptografa: reduz todos os arquivos a 0 KB, deixando-os visíveis nas pastas, porém completamente vazios. A funcionalidade foi documentada pela Rubrik Zero Labs e reportada pelo TechTimes.

Isso inverte a lógica clássica do resgate. Em ataques comuns, pagar costuma devolver o acesso aos dados (na teoria). Com o Anubis, o simples pagamento não garante nada: a gangue pode disparar o WIPEMODE a qualquer momento e transformar o ambiente em terra arrasada com um único comando. Para a Rubrik, “saber que os atacantes podem reverter o ambiente das vítimas a esse estado com um comando aumenta drasticamente a pressão para pagar antes que o wiper seja totalmente ativado”.

O modelo financeiro reforça a agressividade: o Anubis oferece 80% do valor do resgate aos afiliados, segundo a Rubrik Zero Labs — uma divisão de lucro generosa que atrai operadores experientes e acelera o ritmo de ataques.

Ferramentas legítimas viram arma

Depois de entrar, o Anubis evita malware personalizado que pudesse ser detectado. Em vez disso, usa ferramentas legítimas de acesso remoto — o que os analistas chamam de “living off the land”. A Arctic Wolf identificou o abuso sistemático de ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC e Total Software Deployment, entre outros.

A vantagem para o atacante é dupla: o tráfego dessas ferramentas se mistura à rotina normal de TI e raramente dispara alertas, e o ataque avança com “mãos no teclado” — operadores humanos que navegam pela rede, coletam credenciais e preparam o terreno para a criptografia final. Túneis como o Cloudflared completam a furtividade, ocultando a comunicação com a infraestrutura de comando e controle.

O relatório também menciona BYOVD (Bring Your Own Vulnerable Driver) e o uso de credenciais roubadas da cadeia de suprimentos, mostrando que o Anubis combina várias técnicas conforme o afiliado.

Por que o Brasil está exposto

O Citrix NetScaler é uma das soluções mais usadas por grandes empresas brasileiras para publicar aplicações e acesso remoto na internet — bancos, operadoras, redes de varejo e órgãos públicos mantêm milhares de instâncias expostas. As versões 12.1 e 13.0 do NetScaler ADC e Gateway já estão em fim de vida (End-of-Life) e continuam vulneráveis, conforme o alerta do Canadian Centre for Cyber Security.

A maioria das vítimas do Anubis está nos Estados Unidos, seguidas por Reino Unido, Austrália, França e Canadá. Mas o histórico de grupos como INC Ransomware e The Gentlemen — que já miraram o Brasil — mostra que a América Latina entra no radar assim que os afiliados precisam de novos alvos. Um appliance Citrix desatualizado é, literalmente, um convite aberto na porta da internet.

Como se proteger agora

Ação Por que é essencial
Atualizar o NetScaler ADC/Gateway Corrige a CVE-2025-5777; versões EOL (12.1 e 13.0) não recebem patch e devem ser substituídas.
Encerrar todas as sessões ativas O patch não revoge cookies roubados; sessões hijackadas sobrevivem à atualização, avisa a Arctic Wolf.
Auditar ferramentas RMM Remover ou restringir ScreenConnect, Zoho Assist, MeshAgent e afins que não sejam estritamente necessárias.
Forçar reautenticação e resetar credenciais Invalida tokens de sessão vazados e credenciais comprometidas por stealers.
Monitorar tráfego de túneis Detectar uso de Cloudflared e ferramentas legítimas fora do padrão de TI.
Testar backups imutáveis O WIPEMODE anula a estratégia de pagar pelo resgate — só a restauração segura salva os dados.

Um ponto decisivo, reforçado pelo Canadian Centre for Cyber Security: aplicar o patch não remove o acesso de um atacante que já comprometeu o dispositivo enquanto ele estava vulnerável. Por isso, encerrar sessões ativas após a atualização não é opcional — é a única forma de cortar a permanência do invasor.

Lições para além do Citrix

O caso Anubis ilustra um padrão que se repete em 2026: a janela entre a divulgação de uma falha e sua exploração em massa encolheu para horas. Appliances expostos à internet — VPNs, gateways, painéis de administração — viraram o vetor de entrada favorito dos grupos de ransomware, superando o phishing tradicional em eficiência.

O WIPEMODE também muda a conversa sobre pagamento de resgate. Se a destruição é irreversível e independe do pagamento, a única defesa real continua sendo a prevenção: patch rápido, segmentação de rede, monitoramento de ferramentas legítimas e backups que o atacante não consiga alcançar. Pagar deixou de ser um plano B confiável.

Para entender o cenário mais amplo de ameaças digitais deste ano, vale conferir nosso levantamento das maiores ameaças digitais de 2026 segundo especialistas e a análise sobre como o INC Ransomware passou de 830 vítimas e passou a mirar o Brasil. Outro vetor que segue ativo é o zero-day na VPN da Check Point que dá acesso sem senha, no mesmo padrão de exploração de gateways remotos.

Referências