Redazione RHC : 5 septiembre 2025 12:31
Los especialistas en seguridad de Sophos han llamado la atención sobre un ciberataque en el que atacantes desconocidos utilizaron la herramienta forense de código abierto Velociraptor para monitorizar endpoints.
«En este incidente, los atacantes utilizaron una herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel a un servidor de comando y control», declararon los expertos de Sophos Counter Threat. Unidad.
El informe enfatiza que los atacantes suelen emplear tácticas de «viviendo de la tierra» (LotL) y usar herramientas legítimas de monitoreo y control remoto en sus ataques. Sin embargo, el uso de Velociraptor indica una evolución de dichas tácticas, donde el software de respuesta a incidentes se está utilizando indebidamente con fines maliciosos.
El análisis del incidente mostró que los atacantes usaron la utilidad msiexec de Windows para descargar un instalador MSI del dominio Cloudflare Workers, que también sirve como área de pruebas para otras soluciones utilizadas por los atacantes, como la herramienta de tunelización de Cloudflare y la Utilidad de Administración Remota de Cloudflare. Radmin.
El archivo MSI se diseñó para implementar Velociraptor, que luego se comunicaría con otro dominio de Cloudflare Workers. El acceso se utilizó para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando codificado de PowerShell y ejecutarlo con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Además, se observó que los atacantes reutilizaban la utilidad msiexec de Windows para descargar cargas útiles adicionales. «Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y considerar el uso de estas tácticas como un precursor de la distribución de ransomware», advierte Sophos.
Tras la publicación de este informe por parte de Sophos, la empresa de seguridad Rapid7, desarrolladora de Velociraptor, publicó un informe técnico que detalla cómo las organizaciones pueden detectar el uso indebido de Velociraptor en sus entornos.
«Rapid7 tiene conocimiento de informes de abuso de la herramienta de respuesta a incidentes de código abierto Velociraptor. Velociraptor es ampliamente utilizada por los defensores para fines legítimos de análisis forense digital y respuesta a incidentes. Sin embargo, al igual que muchas otras herramientas de seguridad y administración, puede utilizarse con fines maliciosos si cae en las manos equivocadas», comentan los desarrolladores.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
