O ransomware Anubis está invadindo redes corporativas pela falha Citrix Bleed 2 (CVE-2025-5777), que rouba tokens de sessão e ignora a autenticação em dois fatores. Com 91 vítimas confirmadas até julho de 2026, o grupo apaga arquivos a zero quilobyte — mesmo depois de você pagar o resgate.
Resumo — pontos-chave
- Falha: CVE-2025-5777, CVSS 9.3, vaza memória do NetScaler e rouba cookies de sessão ativos.
- Bypass: o atacante se passa por um usuário já autenticado, driblando MFA e senha.
- Agressor: Anubis, grupo de ransomware-as-a-service que oferece 80% do resgate a afiliados.
- Castigo: o módulo WIPEMODE reduz arquivos a 0 KB, mesmo após o pagamento.
- Ação imediata: atualizar o Citrix NetScaler e encerrar todas as sessões ativas.
Entenda a Citrix Bleed 2
A Citrix Bleed 2 é o apelido dado à vulnerabilidade CVE-2025-5777, uma falha crítica de leitura fora dos limites de memória (out-of-bounds read) que afeta o Citrix NetScaler ADC e o NetScaler Gateway. A exploração foi confirmada desde o início de junho de 2026 e entrou para o catálogo de vulnerabilidades conhecidas e exploradas (KEV) da agência norte-americana CISA, conforme registra o Cybersecurity Dive.
O problema está em como o appliance trata requisições HTTP quando configurado como Gateway virtual ou servidor AAA. Em vez de quebrar uma senha, o atacante envia requisições manipuladas que fazem o NetScaler devolver pedaços da memória interna — e nessa memória estão os cookies de sessão de usuários autenticados. Com o cookie em mãos, o invasor assume a identidade da vítima sem precisar de login nem de segundo fator, como detalha o Splunk Threat Research Team.
A gravidade é amplificada por um detalhe técnico: proof-of-concept públicos já circulam desde junho, o que rebaixou o ataque a algo trivial de executar. O BleepingComputer alertou que o exploit consegue roubar tokens de sessão com facilidade, abrindo a porta para qualquer grupo de ransomware que saiba rodar um script.
Como o Anubis entra na rede
O Anubis é um grupo de ransomware-as-a-service (RaaS) que surgiu no final de 2024 como rebrand do antigo Sphinx e foi anunciado oficialmente no fórum underground RAMP em fevereiro de 2025. Segundo dados da plataforma Ransomware.Live citados pelo The Hacker News, a gangue já reivindicou 91 vítimas em seu site de vazamento, com 11 somente em junho de 2026.
A investigação da Arctic Wolf mostra dois caminhos principais de entrada. O primeiro é a exploração direta da Citrix Bleed 2, que entrega uma sessão válida sem senha. O segundo são credenciais de VPN válidas — obtidas por vazamentos anteriores, informações roubadas por stealers ou compradas de corretores de acesso inicial. Em ambos os casos, a autenticação em dois fatores não serve de barreira, porque o atacante reutiliza uma sessão que já passou por ela.
Os alvos preferidos são saúde, serviços empresariais, manufatura, tecnologia e serviços financeiros — setores fortemente presentes na economia brasileira e que costumam manter appliances Citrix expostos à internet para acesso remoto de funcionários.
O modo “terra arrasada”
O detalhe mais perturbador do Anubis é o módulo WIPEMODE. Quando ativado, ele não apenas criptografa: reduz todos os arquivos a 0 KB, deixando-os visíveis nas pastas, porém completamente vazios. A funcionalidade foi documentada pela Rubrik Zero Labs e reportada pelo TechTimes.
Isso inverte a lógica clássica do resgate. Em ataques comuns, pagar costuma devolver o acesso aos dados (na teoria). Com o Anubis, o simples pagamento não garante nada: a gangue pode disparar o WIPEMODE a qualquer momento e transformar o ambiente em terra arrasada com um único comando. Para a Rubrik, “saber que os atacantes podem reverter o ambiente das vítimas a esse estado com um comando aumenta drasticamente a pressão para pagar antes que o wiper seja totalmente ativado”.
O modelo financeiro reforça a agressividade: o Anubis oferece 80% do valor do resgate aos afiliados, segundo a Rubrik Zero Labs — uma divisão de lucro generosa que atrai operadores experientes e acelera o ritmo de ataques.
Ferramentas legítimas viram arma
Depois de entrar, o Anubis evita malware personalizado que pudesse ser detectado. Em vez disso, usa ferramentas legítimas de acesso remoto — o que os analistas chamam de “living off the land”. A Arctic Wolf identificou o abuso sistemático de ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC e Total Software Deployment, entre outros.
A vantagem para o atacante é dupla: o tráfego dessas ferramentas se mistura à rotina normal de TI e raramente dispara alertas, e o ataque avança com “mãos no teclado” — operadores humanos que navegam pela rede, coletam credenciais e preparam o terreno para a criptografia final. Túneis como o Cloudflared completam a furtividade, ocultando a comunicação com a infraestrutura de comando e controle.
O relatório também menciona BYOVD (Bring Your Own Vulnerable Driver) e o uso de credenciais roubadas da cadeia de suprimentos, mostrando que o Anubis combina várias técnicas conforme o afiliado.
Por que o Brasil está exposto
O Citrix NetScaler é uma das soluções mais usadas por grandes empresas brasileiras para publicar aplicações e acesso remoto na internet — bancos, operadoras, redes de varejo e órgãos públicos mantêm milhares de instâncias expostas. As versões 12.1 e 13.0 do NetScaler ADC e Gateway já estão em fim de vida (End-of-Life) e continuam vulneráveis, conforme o alerta do Canadian Centre for Cyber Security.
A maioria das vítimas do Anubis está nos Estados Unidos, seguidas por Reino Unido, Austrália, França e Canadá. Mas o histórico de grupos como INC Ransomware e The Gentlemen — que já miraram o Brasil — mostra que a América Latina entra no radar assim que os afiliados precisam de novos alvos. Um appliance Citrix desatualizado é, literalmente, um convite aberto na porta da internet.
Como se proteger agora
| Ação | Por que é essencial |
|---|---|
| Atualizar o NetScaler ADC/Gateway | Corrige a CVE-2025-5777; versões EOL (12.1 e 13.0) não recebem patch e devem ser substituídas. |
| Encerrar todas as sessões ativas | O patch não revoge cookies roubados; sessões hijackadas sobrevivem à atualização, avisa a Arctic Wolf. |
| Auditar ferramentas RMM | Remover ou restringir ScreenConnect, Zoho Assist, MeshAgent e afins que não sejam estritamente necessárias. |
| Forçar reautenticação e resetar credenciais | Invalida tokens de sessão vazados e credenciais comprometidas por stealers. |
| Monitorar tráfego de túneis | Detectar uso de Cloudflared e ferramentas legítimas fora do padrão de TI. |
| Testar backups imutáveis | O WIPEMODE anula a estratégia de pagar pelo resgate — só a restauração segura salva os dados. |
Um ponto decisivo, reforçado pelo Canadian Centre for Cyber Security: aplicar o patch não remove o acesso de um atacante que já comprometeu o dispositivo enquanto ele estava vulnerável. Por isso, encerrar sessões ativas após a atualização não é opcional — é a única forma de cortar a permanência do invasor.
Lições para além do Citrix
O caso Anubis ilustra um padrão que se repete em 2026: a janela entre a divulgação de uma falha e sua exploração em massa encolheu para horas. Appliances expostos à internet — VPNs, gateways, painéis de administração — viraram o vetor de entrada favorito dos grupos de ransomware, superando o phishing tradicional em eficiência.
O WIPEMODE também muda a conversa sobre pagamento de resgate. Se a destruição é irreversível e independe do pagamento, a única defesa real continua sendo a prevenção: patch rápido, segmentação de rede, monitoramento de ferramentas legítimas e backups que o atacante não consiga alcançar. Pagar deixou de ser um plano B confiável.
Para entender o cenário mais amplo de ameaças digitais deste ano, vale conferir nosso levantamento das maiores ameaças digitais de 2026 segundo especialistas e a análise sobre como o INC Ransomware passou de 830 vítimas e passou a mirar o Brasil. Outro vetor que segue ativo é o zero-day na VPN da Check Point que dá acesso sem senha, no mesmo padrão de exploração de gateways remotos.
Referências
- The Hacker News — Ransomware Groups Turn to Citrix Bleed 2, BYOVD, and Supply Chain Credentials (jul. 2026)
- Arctic Wolf — From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks
- TechTimes — Anubis Ransomware Hits 91 Victims: Citrix Bleed 2 Bypasses MFA Before Encryption (jul. 2026)
- BleepingComputer — Public exploits released for Citrix Bleed 2 NetScaler flaw, patch now
- Splunk — CitrixBleed 2: When Memory Leaks Become Session Hijacks
- Cybersecurity Dive — Researchers, CISA confirm active exploitation of critical Citrix NetScaler flaw
- Canadian Centre for Cyber Security — Vulnerabilities impacting Citrix NetScaler ADC and Gateway
- Citrix — Advisory CTX693420 (CVE-2025-5777)