Redazione RHC : 5 septiembre 2025 12:31
Los especialistas en seguridad de Sophos han llamado la atención sobre un ciberataque en el que atacantes desconocidos utilizaron la herramienta forense de código abierto Velociraptor para monitorizar endpoints.
«En este incidente, los atacantes utilizaron una herramienta para descargar y ejecutar Visual Studio Code con la probable intención de crear un túnel a un servidor de comando y control», declararon los expertos de Sophos Counter Threat. Unidad.
El informe enfatiza que los atacantes suelen emplear tácticas de «viviendo de la tierra» (LotL) y usar herramientas legítimas de monitoreo y control remoto en sus ataques. Sin embargo, el uso de Velociraptor indica una evolución de dichas tácticas, donde el software de respuesta a incidentes se está utilizando indebidamente con fines maliciosos.
El análisis del incidente mostró que los atacantes usaron la utilidad msiexec de Windows para descargar un instalador MSI del dominio Cloudflare Workers, que también sirve como área de pruebas para otras soluciones utilizadas por los atacantes, como la herramienta de tunelización de Cloudflare y la Utilidad de Administración Remota de Cloudflare. Radmin.
El archivo MSI se diseñó para implementar Velociraptor, que luego se comunicaría con otro dominio de Cloudflare Workers. El acceso se utilizó para descargar Visual Studio Code desde el mismo servidor de pruebas mediante un comando codificado de PowerShell y ejecutarlo con la opción de tunelización habilitada para permitir tanto el acceso remoto como la ejecución remota de código.
Además, se observó que los atacantes reutilizaban la utilidad msiexec de Windows para descargar cargas útiles adicionales. «Las organizaciones deben supervisar e investigar el uso no autorizado de Velociraptor y considerar el uso de estas tácticas como un precursor de la distribución de ransomware», advierte Sophos.
Tras la publicación de este informe por parte de Sophos, la empresa de seguridad Rapid7, desarrolladora de Velociraptor, publicó un informe técnico que detalla cómo las organizaciones pueden detectar el uso indebido de Velociraptor en sus entornos.
«Rapid7 tiene conocimiento de informes de abuso de la herramienta de respuesta a incidentes de código abierto Velociraptor. Velociraptor es ampliamente utilizada por los defensores para fines legítimos de análisis forense digital y respuesta a incidentes. Sin embargo, al igual que muchas otras herramientas de seguridad y administración, puede utilizarse con fines maliciosos si cae en las manos equivocadas», comentan los desarrolladores.
RedazioneEl software espía (también conocido como aplicaciones espía) representa una de las amenazas más insidiosas y peligrosas de la era digital. Se trata de programas maliciosos diseñados para infiltra...
Google se acerca a la presentación oficial de Gemini 3.0 , el nuevo modelo de inteligencia artificial que representa uno de los pasos más significativos en la estrategia de la compañía. Según inf...
La búsqueda de la inmortalidad es una obsesión generalizada en Silicon Valley. Asimismo, la idea de perfeccionar a los niños mediante la modificación genética es otra. Sam Altman, el hombre que p...
El quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
