Introducción

Los grupos de ransomware modernos ya no dependen solo de phishing o exploits básicos. En 2025-2026, operaciones como Anubis y The Gentlemen combinan CVE-2025-5777 (Citrix Bleed 2), Bring Your Own Vulnerable Driver (BYOVD), y el robo de credenciales de VPN para moverse lateralmente y persistir en entornos corporativos. Estos ataques son difíciles de detectar porque usan herramientas legítimas (RMM, PsExec, RDP), se camuflan en tráfico VPN corporativo y, en algunos casos, borran rastros tras la ejecución.

Este artículo te guía para detectar señales tempranas de compromiso, bloquear vectores de ataque comunes y fortalecer tu infraestructura en AWS y entornos híbridos contra estas técnicas. Los pasos están diseñados para equipos de DevOps, SRE y Seguridad que necesitan acción inmediata.

Qué es y para qué sirve

Técnicas clave usadas por Anubis y similares

  1. Explotación de CVE-2025-5777 (Citrix Bleed 2)
– Afecta a Citrix NetScaler ADC y Gateway configurados como servidores Gateway o AAA virtual.

– Permite bypass de autenticación (CVSS 9.3), dando acceso inicial sin credenciales válidas.

– Los atacantes luego usan credenciales robadas o válidas de VPN para moverse lateralmente.

  1. Bring Your Own Vulnerable Driver (BYOVD)
– Usan drivers vulnerables (ej. ktapi.sys de Kontron) para obtener acceso a nivel kernel y deshabilitar protecciones de seguridad (EDR, Defender, etc.).

– Esto les permite matar procesos de seguridad y evadir detección.

  1. Robo de credenciales y movimiento lateral
– Credenciales de VPN legítimas (posiblemente obtenidas de brokers o leaks).

– Herramientas de administración remota (RMM): ScreenConnect, Zoho Assist, MeshAgent.

– Movimiento lateral con RDP, PsExec, SMB.

– Exfiltración de datos con S3 Browser, rclone, WinSCP, PuTTY.

  1. Persistencia y evasión
– Deshabilitan protecciones (Defender, Sophos).

– Borran logs y archivos de ransomware después de ejecutarse.

– Usan Cloudflare Tunnel (cloudflared) para exfiltración y acceso remoto.

Prerequisitos

Para seguir esta guía necesitas:

  • Acceso administrativo a:
– Consola de AWS (IAM, CloudTrail, GuardDuty).

– Servidores Windows/Linux en tu entorno (para configurar políticas de seguridad).

– Firewall/VPN (para bloquear tráfico sospechoso).

  • Herramientas instaladas:
– AWS CLI (aws v2.13+).

– PowerShell 7+ (en estaciones Windows).

jq (para procesar logs JSON).

– Sysmon (opcional, para monitoreo avanzado).

  • Versiones de software:
– Citrix NetScaler ADC/Gateway actualizado a la versión que parchea CVE-2025-5777 (ver nota de Citrix).

– Windows 10/11 o Windows Server 2019/2022 (para controles de seguridad).

– Drivers de terceros revisados (ej. Kontron ktapi.sys v1.2.3 o superior).

Guía paso a paso

🔍 Paso 1: Detectar explotación de CVE-2025-5777 en Citrix

1.1. Buscar logs de autenticación sospechosos en NetScaler

# Consultar logs de autenticación en NetScaler (formato CSV)
curl -k -u "nsroot:$(cat /nsconfig/nslogin)" \
  "https://<NETSCALER_IP>/nitro/v1/config/login?filter=lastmodifiedtime:gt:2025-10-01T00:00:00Z" \
  -H "Content-Type: application/json" | jq '.login[] | select(.logintime | contains("error"))'
Resultado esperado:

Si hay explotación activa, verás registros con logintime en formato erróneo o sesiones iniciadas sin credenciales válidas.

1.2. Verificar configuración vulnerable

# Listar configuraciones de Gateway/AAA virtual
curl -k -u "nsroot:$(cat /nsconfig/nslogin)" \
  "https://<NETSCALER_IP>/nitro/v1/config/sslvpnvserver" | jq '.sslvpnvserver[] | {name, ipv46, state}'
Configuración vulnerable:
  • state: ENABLED en servidores Gateway/AAA con autenticación deshabilitada o métodos inseguros (ej. NO_AUTH).
Acción correctiva:
# Deshabilitar autenticación insegura en Gateway (ejemplo)
curl -k -u "nsroot:$(cat /nsconfig/nslogin)" \
  -X PUT "https://<NETSCALER_IP>/nitro/v1/config/sslvpnvserver/<VPN_SERVER_ID>" \
  -H "Content-Type: application/json" \
  -d '{"sslvpnvserver":{"state":"ENABLED","authtype":"LOCAL","maxaaausers":100}}'

🔒 Paso 2: Bloquear BYOVD (Bring Your Own Vulnerable Driver)

2.1. Auditar drivers instalados en Windows

# Listar drivers firmados por Kontron (posible BYOVD)
Get-WmiObject Win32_SystemDriver | Where-Object { $_.Name -like "*ktapi*" } |
  Select-Object Name, Version, Description | Format-Table -AutoSize
Resultado esperado:

Si encuentras ktapi.sys v1.0.0 o inferior, bloquea el driver inmediatamente.

2.2. Bloquear drivers vulnerables con AppLocker

# Crear regla AppLocker para bloquear ktapi.sys
New-AppLockerFileRule -Path "C:\Windows\System32\drivers\ktapi.sys" -Action Deny -PolicyType Executable -User Everyone
Verificación:
Get-AppLockerPolicy -Effective -Xml | Select-Xml "//Deny/RuleCollection/Rule/FilePathCondition" -NoNamespaces

🔐 Paso 3: Fortalecer credenciales de VPN y RDP

3.1. Auditar logs de VPN en AWS

# Consultar logs de autenticación en AWS Client VPN (usando CloudTrail)
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=EventName,AttributeValue=CreateClientVpnConnection \
  --start-time $(date -d "24 hours ago" +%Y-%m-%dT%H:%M:%SZ) \
  --end-time $(date -d "now" +%Y-%m-%dT%H:%M:%SZ) \
  --query 'Events[?contains(Resources[0].ResourceName, `client-vpn`)].{Username:Username, SourceIP:SourceIPAddress, Time:EventTime}' \
  --output table
Señales de compromiso:
  • Conexiones desde ASNs sospechosos (ej. AS20473, AS55286).
  • Usuarios con múltiples IPs geográficamente dispersas en poco tiempo.

3.2. Configurar MFA obligatorio en VPN

# Habilitar MFA en AWS Client VPN (usando IAM)
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-1234567890abcdef0 \
  --authentication-options '[{"Type":"federated-authentication","FederatedAuthentication":{"SAMLProviderArn":"arn:aws:iam::123456789012:saml-provider/AzureAD","SelfServiceSAMLProviderArn":"arn:aws:iam::123456789012:saml-provider/AzureAD"}}]' \
  --client-connect-options '{"Enabled":true,"LambdaFunctionArn":"arn:aws:lambda:us-east-1:123456789012:function:VPNMFAValidator"}'

🛡️ Paso 4: Monitorear movimiento lateral con PsExec y RDP

4.1. Configurar alertas en AWS GuardDuty para PsExec

# Crear detector de GuardDuty para PsExec (usando CloudFormation)
aws cloudformation deploy \
  --template-file ps-exec-detector.yaml \
  --stack-name PsExecGuardDutyDetector \
  --capabilities CAPABILITY_IAM
Contenido de ps-exec-detector.yaml:
Resources:
  PsExecGuardDutyDetector:
    Type: AWS::GuardDuty::Detector
    Properties:
      Enable: true
      FindingPublishingFrequency: FIFTEEN_MINUTES
      DataSources:
        Behavior:
          PortProbeAction:
            UnusualPortProbeAction:
              Enabled: true
          BruteForce:
            UnusualConsoleLogin:
              Enabled: true
        Kubernetes:
          AuditLogs:
            Enabled: false

4.2. Habilitar logging detallado en RDP

# Configurar políticas de grupo para RDP (Windows Server)
# Política: Habilitar logging de autenticación RDP
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fEnableLogon" -Value 1
Verificación:
Get-WinEvent -LogName "Security" -MaxEvents 10 | Where-Object { $_.Id -eq 4624 -and $_.Properties[8].Value -eq "10" }

🚨 Paso 5: Detectar exfiltración de datos con herramientas legítimas

5.1. Monitorear uso de rclone y s5cmd en AWS

# Buscar ejecuciones de rclone/s5cmd en logs de EC2 (usando CloudWatch Logs)
aws logs filter-log-events \
  --log-group-name "/aws/ec2/<INSTANCE_ID>" \
  --filter-pattern "rclone" \
  --start-time $(date -d "1 hour ago" +%s%3N) \
  --end-time $(date -d "now" +%s%3N)
Señal de alarma:
  • Comando rclone copy s3://bucket-secreto: ... desde una estación interna.
  • Uso de s5cmd --numworkers 16 (paralelismo inusual).

5.2. Bloquear acceso a buckets públicos con S3 Block Public Access

# Aplicar política a nivel de cuenta para bloquear buckets públicos
aws s3control put-public-access-block \
  --account-id 123456789012 \
  --public-access-block-configuration '{
    "BlockPublicAcls":true,
    "IgnorePublicAcls":true,
    "BlockPublicPolicy":true,
    "RestrictPublicBuckets":true
  }'

🔄 Paso 6: Implementar detección temprana con Sysmon (opcional)

Si usas Sysmon en estaciones Windows, agrega estas reglas para detectar Anubis:

<!-- Regla Sysmon para detectar PsExec y RMM -->
<Sysmon schemaversion="4.90">
  <EventFiltering>
    <ProcessCreate onmatch="include">
      <Image condition="contains">\\PSEXESVC.exe</Image>
      <OriginalFileName condition="contains">PsExec</OriginalFileName>
    </ProcessCreate>
    <ProcessCreate onmatch="include">
      <Image condition="contains">C:\Program Files\ScreenConnect\</Image>
    </ProcessCreate>
  </EventFiltering>
</Sysmon>
Carga la regla:
# Instalar regla Sysmon
sysmon -i sysmon-config.xml -accepteula

Consideraciones y buenas prácticas

🚨 Errores comunes y cómo evitarlos

  1. Confiar en logs de VPN sin correlación
Problema: Un atacante puede usar credenciales legítimas robadas.

Solución: Correlacioná logs de VPN con comportamiento anómalo (ej. RDP desde VPN + PsExec + rclone en minutos).

  1. No auditar drivers de terceros
Riesgo: BYOVD puede deshabilitar EDR en segundos.

Acción: Usá Windows Defender Application Control (WDAC) para bloquear drivers no firmados por Microsoft.

  1. Permitir tráfico de Cloudflare Tunnel sin restricción
Riesgo: Los atacantes usan cloudflared para exfiltración.

Solución: Configurá listas de control de aplicaciones (ACLs) en tu firewall para bloquear cloudflared a destinos externos.

⚠️ Limitaciones conocidas

  • CVE-2025-5777: Si no actualizaste Citrix NetScaler a la versión parcheada, el riesgo es crítico. No hay workaround manual efectivo.
  • BYOVD: Algunas variantes de ktapi.sys pueden evadir AppLocker. Usá WDAC en modo «Enforcement» para mayor seguridad.
  • RMM legítimo: Herramientas como ScreenConnect son usadas por atacantes. No las bloquees, pero restringí su uso a IPs corporativas y auditá logs diariamente.

🔄 Alternativas y complementos

TécnicaAlternativaCuándo usarla
**Bloquear BYOVD**Usar **Microsoft Defender for Endpoint (MDATP)** con reglas de bloqueo de driversSi tenés EDR consolidado
**Detectar PsExec**Usar **AWS Detective** para análisis de comportamientoPara entornos complejos con múltiples cuentas
**Monitorear rclone**Configurar **AWS Macie** para escaneo de bucketsSi manejás datos sensibles en S3
## Conclusión

Los grupos de ransomware como Anubis ya no dependen de exploits básicos: combinan vulnerabilidades críticas (Citrix Bleed 2), técnicas BYOVD y credenciales robadas para moverse silenciosamente en tu infraestructura. Para defenderte:

  1. Parcheá CVE-2025-5777 en Citrix NetScaler inmediatamente.
  2. Bloqueá drivers vulnerables con AppLocker o WDAC.
  3. Exigí MFA en VPN y RDP, y auditá logs de autenticación.
  4. Monitoreá movimiento lateral con PsExec, RDP y herramientas de administración remota.
  5. Restringí acceso a S3 y bloqueá exfiltración con S3 Block Public Access.
La clave está en la correlación: un atacante puede usar credenciales válidas, pero el patrón de movimiento lateral (RDP → PsExec → rclone → exfiltración) es detectable. Implementá estos controles hoy para reducir el riesgo de infección.

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *