Redazione RHC : 11 octubre 2025 08:49
Los hackers han comenzado a usar Velociraptor , la herramienta de análisis forense digital y respuesta a incidentes (DFIR), para lanzar ataques de ransomware como LockBit y Babuk. Los investigadores de Cisco Talos atribuyen estas campañas al grupo Storm-2603, que opera en China.
Según los analistas, los atacantes utilizaron una versión obsoleta de Velociraptor con una vulnerabilidad de escalada de privilegios ( CVE-2025-6264, puntuación CVSS 5,5) para obtener control completo sobre los sistemas infectados.
Velociraptor fue creado por Mike Cohen como una herramienta DFIR de código abierto y posteriormente adquirido por Rapid7, que está desarrollando una versión comercial. A finales de agosto, investigadores de Sophos informaron que los atacantes ya utilizaban este software para acceso remoto. Lo utilizaban para descargar y ejecutar Visual Studio Code en hosts infectados, creando un túnel de comunicación seguro con servidores C2.
Según Cisco Talos, el ataque comenzó con la creación de cuentas de administrador local sincronizadas con el ID de inicio de sesión . Con estas cuentas, los atacantes iniciaron sesión en la consola de VMware vSphere y establecieron presencia en la infraestructura virtual.
Luego instalaron una versión anterior de Velociraptor, la 0.73.4.0, que contenía la vulnerabilidad CVE-2025-6264, lo que les permitía ejecutar comandos arbitrarios y tomar el control del sistema . La herramienta se reutilizó incluso después de aislar el host, lo que garantizó una presencia persistente en la red.
Los atacantes también usaron comandos smbexec similares a Impacket para iniciar programas de forma remota y crear tareas programadas con scripts por lotes. Para debilitar la seguridad, deshabilitaron los módulos de protección de Microsoft Defender, incluyendo la supervisión de la actividad de archivos y procesos, mediante la directiva de grupo de Active Directory.
Las herramientas de detección de amenazas detectaron el ransomware LockBit ejecutándose en computadoras con Windows, pero los archivos cifrados tenían la extensión “. xlockxlock ”, que también se vio en los ataques de Warlock .
En servidores VMware ESXi, los investigadores encontraron un binario de Linux identificado como Babuk . Se utilizó un ransomware de PowerShell sin archivos para el cifrado masivo de datos, generando nuevas claves AES con cada ejecución. Anteriormente, otro script de PowerShell descargó documentos para una doble extorsión, lo que añadió retrasos entre operaciones para evadir los entornos aislados y los sistemas de análisis.
Halcyon señaló en su investigación que Storm-2603 probablemente esté vinculado a agencias gubernamentales chinas y que anteriormente se conocía como Warlock y CL-CRI-1040. El grupo actuó como socio de LockBit, combinando sus herramientas con las de ecosistemas de ciberdelincuencia consolidados.
Cisco Talos presentó una serie de indicadores de compromiso, incluidos archivos descargados por los atacantes y rastros de actividad de Velociraptor detectados en los sistemas infectados.
RedazioneA partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...
Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...
El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...
