Redazione RHC : 5 septiembre 2025 12:31
Los especialistas en seguridad de Sophos han llamado la atención sobre un ciberataque en el que atacantes desconocidos utilizaron la herramienta forense de código abierto Velociraptor para monitorizar endpoints.
«En este incidente, los atacantes utilizaron una herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel a un servidor de comando y control», declararon los expertos de Sophos Counter Threat. Unidad.
El informe enfatiza que los atacantes suelen emplear tácticas de «viviendo de la tierra» (LotL) y usar herramientas legítimas de monitoreo y control remoto en sus ataques. Sin embargo, el uso de Velociraptor indica una evolución de dichas tácticas, donde el software de respuesta a incidentes se está utilizando indebidamente con fines maliciosos.
El análisis del incidente mostró que los atacantes usaron la utilidad msiexec de Windows para descargar un instalador MSI del dominio Cloudflare Workers, que también sirve como área de pruebas para otras soluciones utilizadas por los atacantes, como la herramienta de tunelización de Cloudflare y la Utilidad de Administración Remota de Cloudflare. Radmin.
El archivo MSI se diseñó para implementar Velociraptor, que luego se comunicaría con otro dominio de Cloudflare Workers. El acceso se utilizó para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando codificado de PowerShell y ejecutarlo con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Además, se observó que los atacantes reutilizaban la utilidad msiexec de Windows para descargar cargas útiles adicionales. «Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y considerar el uso de estas tácticas como un precursor de la distribución de ransomware», advierte Sophos.
Tras la publicación de este informe por parte de Sophos, la empresa de seguridad Rapid7, desarrolladora de Velociraptor, publicó un informe técnico que detalla cómo las organizaciones pueden detectar el uso indebido de Velociraptor en sus entornos.
«Rapid7 tiene conocimiento de informes de abuso de la herramienta de respuesta a incidentes de código abierto Velociraptor. Velociraptor es ampliamente utilizada por los defensores para fines legítimos de análisis forense digital y respuesta a incidentes. Sin embargo, al igual que muchas otras herramientas de seguridad y administración, puede utilizarse con fines maliciosos si cae en las manos equivocadas», comentan los desarrolladores.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
