Три группировки ransomware одновременно оказались в фокусе исследователей безопасности — и каждая из них заслуживает отдельного разбора. Anubis, The Gentlemen и альянс TeamPCP/VECT/CipherForce используют разные техники, но при этом двигаются в одном направлении: убрать как можно больше барьеров между начальным доступом и полным шифрованием инфраструктуры жертвы.
Anubis: ребрендинг Sphinx и критическая уязвимость Citrix
Группировка Anubis появилась в конце 2024 года как переименованная версия Sphinx ransomware, а официально заявила о себе в феврале 2025 года на подпольном форуме RAMP. По данным , к июню 2026 года Anubis заявила о 91 жертве, из которых 11 были атакованы за один только этот месяц. Более половины жертв расположены в США, Великобритании, Австралии, Франции и Канаде. Под прицелом — здравоохранение, производство, финансовые услуги, технологический сектор и бизнес-сервисы.
Модель работы — классический RaaS: аффилиаты получают 80% от выплат. Но что выделяет Anubis среди прочих — это модуль /WIPEMODE. Согласно отчёту Rubrik Zero Labs от июля 2025 года, этот компонент не шифрует файлы, а уничтожает их содержимое: файлы остаются в директориях, но сжимаются до 0 КБ. Что важно — вайпер срабатывает независимо от того, заплатила жертва выкуп или нет. Это переводит переговоры совсем в другую плоскость.
Для первоначального проникновения Anubis использует CVE-2025-5777, получившую неофициальное название «Citrix Bleed 2» с оценкой CVSS 9.3. Уязвимость затрагивает Citrix NetScaler ADC и Gateway и позволяет обходить аутентификацию, если устройство настроено как шлюз или виртуальный сервер AAA. Помимо этого, зафиксированы подключения через Cisco AnyConnect VPN с адресов хостинговых автономных систем AS20473 (The Constant Company) и AS55286 (ServerMania) — то есть уже готовые учётные данные, происхождение которых пока установить не удалось.
После проникновения группа использует RDP и PsExec для бокового перемещения, в ряде случаев настраивает тоннели через cloudflared. Для закрепления применяются легитимные RMM-инструменты: ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC, Total Software Deployment. Данные утекают через S3 Browser, rclone, s5cmd, WinSCP и PuTTY. Перед шифрованием защита отключается — деактивируется Windows Defender, запускается SophosUninstall, используются артефакты PCHunter, очищаются журналы. В как минимум одном задокументированном случае сам энкриптор был удалён после выполнения, чтобы не оставлять следов на диске. Детали атак опубликовала компания Arctic Wolf.
The Gentlemen: Go-бэкдор и zero-day в драйвере Kontron
Группа The Gentlemen работает по схеме RaaS и получает первоначальный доступ через известные уязвимости и слабые учётные данные. Kaspersky опубликовал подробный разбор их инструментария — и там есть на что посмотреть.
Написанный на Go бэкдор собирает информацию о системе, устанавливает двунаправленное TCP-соединение с сервером 81.177.215[.]15 на порту 9443 и ждёт команд. Байт ответа «c» запускает выполнение команд через cmd.exe, байт «s» поднимает SOCKS-прокси. Это позволяет атакующим делать pivot внутри сети и расширять зону сканирования. После разведки следует боковое перемещение через Group Policy или PsExec, а затем — уклонение от защиты через BYOVD.
Именно здесь история становится серьёзнее. Компания Expel обнаружила, что The Gentlemen используют zero-day в драйвере ktapi.sys — компоненте API, разработанного Kontron. Через эту уязвимость атакующие получают доступ на уровне ядра и убивают защитное ПО: продукты Microsoft, ESET, Palo Alto Networks и SentinelOne. Как именно злоумышленники получили этот драйвер — пока неизвестно.
Исследователь Маркус Хатчинс прокомментировал ситуацию прямо: «BYOVD продолжает оставаться огромной угрозой для предприятий, позволяя атакующим за секунды отключать самые современные системы безопасности конечных точек. Даже использование последней версии Windows с включёнными средствами защиты от эксплойтов не обеспечивает полной защиты».
TeamPCP, VECT и CipherForce: атаки через цепочку поставок и баг в собственном энкриптере
Третья история немного другого рода. В феврале 2026 года группировка CipherForce разместила на своём сайте утечек информацию о шести жертвах. К маю 2026 года CipherForce фактически превратилась в TeamPCP — а сам TeamPCP сформировал партнёрство с VECT, поставщиком ransomware-энкриптора.
По данным Sophos, которые были переданы The Hacker News, VECT развернул своё ПО в организациях, скомпрометированных в ходе атак на цепочки поставок Trivy и LiteLLM. Вектор — кража учётных данных через эти популярные инструменты. Это уже не точечные атаки, а нечто ближе к промышленному производству.
Check Point и JUMPSEC нашли в реализации VECT примечательный баг: любой файл размером больше 128 КБ не шифруется, а уничтожается безвозвратно. Для жертв это означает потерю данных даже при выплате выкупа. TeamPCP отреагировал заявлением о том, что никогда не использовал энкриптор VECT в своих атаках: «Мы владеем CipherForce — нашим собственным приватным локером».
Sophos описывает происходящее так: «Совмещение масштабной кражи учётных данных через цепочку поставок, созревающей RaaS-операции и массовой мобилизации на подпольных форумах — это беспрецедентная модель промышленного развёртывания ransomware, которая существенно снижает порог входа в киберпреступность».
Общие черты и тенденции
Все три группировки объединяют несколько устойчивых паттернов. Легитимные RMM-инструменты применяются, чтобы слиться с обычной IT-активностью. BYOVD используется для отключения EDR-решений на уровне ядра. Данные похищаются до шифрования — это уже стандарт. Журналы очищаются, антивирусы отключаются, артефакты удаляются. RaaS как модель продолжает снижать порог вхождения: теперь для запуска атаки не нужно писать собственный код с нуля, достаточно купить доступ к готовой инфраструктуре на RAMP или аналогичном форуме.
Anubis: ребрендинг Sphinx и критическая уязвимость Citrix
Группировка Anubis появилась в конце 2024 года как переименованная версия Sphinx ransomware, а официально заявила о себе в феврале 2025 года на подпольном форуме RAMP. По данным , к июню 2026 года Anubis заявила о 91 жертве, из которых 11 были атакованы за один только этот месяц. Более половины жертв расположены в США, Великобритании, Австралии, Франции и Канаде. Под прицелом — здравоохранение, производство, финансовые услуги, технологический сектор и бизнес-сервисы.
Модель работы — классический RaaS: аффилиаты получают 80% от выплат. Но что выделяет Anubis среди прочих — это модуль /WIPEMODE. Согласно отчёту Rubrik Zero Labs от июля 2025 года, этот компонент не шифрует файлы, а уничтожает их содержимое: файлы остаются в директориях, но сжимаются до 0 КБ. Что важно — вайпер срабатывает независимо от того, заплатила жертва выкуп или нет. Это переводит переговоры совсем в другую плоскость.
Для первоначального проникновения Anubis использует CVE-2025-5777, получившую неофициальное название «Citrix Bleed 2» с оценкой CVSS 9.3. Уязвимость затрагивает Citrix NetScaler ADC и Gateway и позволяет обходить аутентификацию, если устройство настроено как шлюз или виртуальный сервер AAA. Помимо этого, зафиксированы подключения через Cisco AnyConnect VPN с адресов хостинговых автономных систем AS20473 (The Constant Company) и AS55286 (ServerMania) — то есть уже готовые учётные данные, происхождение которых пока установить не удалось.
После проникновения группа использует RDP и PsExec для бокового перемещения, в ряде случаев настраивает тоннели через cloudflared. Для закрепления применяются легитимные RMM-инструменты: ScreenConnect, Zoho Assist, MeshAgent, Remotely, UltraVNC, Total Software Deployment. Данные утекают через S3 Browser, rclone, s5cmd, WinSCP и PuTTY. Перед шифрованием защита отключается — деактивируется Windows Defender, запускается SophosUninstall, используются артефакты PCHunter, очищаются журналы. В как минимум одном задокументированном случае сам энкриптор был удалён после выполнения, чтобы не оставлять следов на диске. Детали атак опубликовала компания Arctic Wolf.
The Gentlemen: Go-бэкдор и zero-day в драйвере Kontron
Группа The Gentlemen работает по схеме RaaS и получает первоначальный доступ через известные уязвимости и слабые учётные данные. Kaspersky опубликовал подробный разбор их инструментария — и там есть на что посмотреть.
Написанный на Go бэкдор собирает информацию о системе, устанавливает двунаправленное TCP-соединение с сервером 81.177.215[.]15 на порту 9443 и ждёт команд. Байт ответа «c» запускает выполнение команд через cmd.exe, байт «s» поднимает SOCKS-прокси. Это позволяет атакующим делать pivot внутри сети и расширять зону сканирования. После разведки следует боковое перемещение через Group Policy или PsExec, а затем — уклонение от защиты через BYOVD.
Именно здесь история становится серьёзнее. Компания Expel обнаружила, что The Gentlemen используют zero-day в драйвере ktapi.sys — компоненте API, разработанного Kontron. Через эту уязвимость атакующие получают доступ на уровне ядра и убивают защитное ПО: продукты Microsoft, ESET, Palo Alto Networks и SentinelOne. Как именно злоумышленники получили этот драйвер — пока неизвестно.
Исследователь Маркус Хатчинс прокомментировал ситуацию прямо: «BYOVD продолжает оставаться огромной угрозой для предприятий, позволяя атакующим за секунды отключать самые современные системы безопасности конечных точек. Даже использование последней версии Windows с включёнными средствами защиты от эксплойтов не обеспечивает полной защиты».
TeamPCP, VECT и CipherForce: атаки через цепочку поставок и баг в собственном энкриптере
Третья история немного другого рода. В феврале 2026 года группировка CipherForce разместила на своём сайте утечек информацию о шести жертвах. К маю 2026 года CipherForce фактически превратилась в TeamPCP — а сам TeamPCP сформировал партнёрство с VECT, поставщиком ransomware-энкриптора.
По данным Sophos, которые были переданы The Hacker News, VECT развернул своё ПО в организациях, скомпрометированных в ходе атак на цепочки поставок Trivy и LiteLLM. Вектор — кража учётных данных через эти популярные инструменты. Это уже не точечные атаки, а нечто ближе к промышленному производству.
Check Point и JUMPSEC нашли в реализации VECT примечательный баг: любой файл размером больше 128 КБ не шифруется, а уничтожается безвозвратно. Для жертв это означает потерю данных даже при выплате выкупа. TeamPCP отреагировал заявлением о том, что никогда не использовал энкриптор VECT в своих атаках: «Мы владеем CipherForce — нашим собственным приватным локером».
Sophos описывает происходящее так: «Совмещение масштабной кражи учётных данных через цепочку поставок, созревающей RaaS-операции и массовой мобилизации на подпольных форумах — это беспрецедентная модель промышленного развёртывания ransomware, которая существенно снижает порог входа в киберпреступность».
Общие черты и тенденции
Все три группировки объединяют несколько устойчивых паттернов. Легитимные RMM-инструменты применяются, чтобы слиться с обычной IT-активностью. BYOVD используется для отключения EDR-решений на уровне ядра. Данные похищаются до шифрования — это уже стандарт. Журналы очищаются, антивирусы отключаются, артефакты удаляются. RaaS как модель продолжает снижать порог вхождения: теперь для запуска атаки не нужно писать собственный код с нуля, достаточно купить доступ к готовой инфраструктуре на RAMP или аналогичном форуме.