Redazione RHC : 5 septiembre 2025 12:31
Los especialistas en seguridad de Sophos han llamado la atención sobre un ciberataque en el que atacantes desconocidos utilizaron la herramienta forense de código abierto Velociraptor para monitorizar endpoints.
«En este incidente, los atacantes utilizaron una herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel a un servidor de comando y control», declararon los expertos de Sophos Counter Threat. Unidad.
El informe enfatiza que los atacantes suelen emplear tácticas de «viviendo de la tierra» (LotL) y usar herramientas legítimas de monitoreo y control remoto en sus ataques. Sin embargo, el uso de Velociraptor indica una evolución de dichas tácticas, donde el software de respuesta a incidentes se está utilizando indebidamente con fines maliciosos.
El análisis del incidente mostró que los atacantes usaron la utilidad msiexec de Windows para descargar un instalador MSI del dominio Cloudflare Workers, que también sirve como área de pruebas para otras soluciones utilizadas por los atacantes, como la herramienta de tunelización de Cloudflare y la Utilidad de Administración Remota de Cloudflare. Radmin.
El archivo MSI se diseñó para implementar Velociraptor, que luego se comunicaría con otro dominio de Cloudflare Workers. El acceso se utilizó para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando codificado de PowerShell y ejecutarlo con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Además, se observó que los atacantes reutilizaban la utilidad msiexec de Windows para descargar cargas útiles adicionales. «Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y considerar el uso de estas tácticas como un precursor de la distribución de ransomware», advierte Sophos.
Tras la publicación de este informe por parte de Sophos, la empresa de seguridad Rapid7, desarrolladora de Velociraptor, publicó un informe técnico que detalla cómo las organizaciones pueden detectar el uso indebido de Velociraptor en sus entornos.
«Rapid7 tiene conocimiento de informes de abuso de la herramienta de respuesta a incidentes de código abierto Velociraptor. Velociraptor es ampliamente utilizada por los defensores para fines legítimos de análisis forense digital y respuesta a incidentes. Sin embargo, al igual que muchas otras herramientas de seguridad y administración, puede utilizarse con fines maliciosos si cae en las manos equivocadas», comentan los desarrolladores.
RedazioneEl equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
