Redazione RHC : 11 octubre 2025 08:49
Los hackers han comenzado a usar Velociraptor , la herramienta de análisis forense digital y respuesta a incidentes (DFIR), para lanzar ataques de ransomware como LockBit y Babuk. Los investigadores de Cisco Talos atribuyen estas campañas al grupo Storm-2603, que opera en China.
Según los analistas, los atacantes utilizaron una versión obsoleta de Velociraptor con una vulnerabilidad de escalada de privilegios ( CVE-2025-6264, puntuación CVSS 5,5) para obtener control completo sobre los sistemas infectados.
Velociraptor fue creado por Mike Cohen como una herramienta DFIR de código abierto y posteriormente adquirido por Rapid7, que está desarrollando una versión comercial. A finales de agosto, investigadores de Sophos informaron que los atacantes ya utilizaban este software para acceso remoto. Lo utilizaban para descargar y ejecutar Visual Studio Code en hosts infectados, creando un túnel de comunicación seguro con servidores C2.
Según Cisco Talos, el ataque comenzó con la creación de cuentas de administrador local sincronizadas con el ID de inicio de sesión . Con estas cuentas, los atacantes iniciaron sesión en la consola de VMware vSphere y establecieron presencia en la infraestructura virtual.
Luego instalaron una versión anterior de Velociraptor, la 0.73.4.0, que contenía la vulnerabilidad CVE-2025-6264, lo que les permitía ejecutar comandos arbitrarios y tomar el control del sistema . La herramienta se reutilizó incluso después de aislar el host, lo que garantizó una presencia persistente en la red.
Los atacantes también usaron comandos smbexec similares a Impacket para iniciar programas de forma remota y crear tareas programadas con scripts por lotes. Para debilitar la seguridad, deshabilitaron los módulos de protección de Microsoft Defender, incluyendo la supervisión de la actividad de archivos y procesos, mediante la directiva de grupo de Active Directory.
Las herramientas de detección de amenazas detectaron el ransomware LockBit ejecutándose en computadoras con Windows, pero los archivos cifrados tenían la extensión “. xlockxlock ”, que también se vio en los ataques de Warlock .
En servidores VMware ESXi, los investigadores encontraron un binario de Linux identificado como Babuk . Se utilizó un ransomware de PowerShell sin archivos para el cifrado masivo de datos, generando nuevas claves AES con cada ejecución. Anteriormente, otro script de PowerShell descargó documentos para una doble extorsión, lo que añadió retrasos entre operaciones para evadir los entornos aislados y los sistemas de análisis.
Halcyon señaló en su investigación que Storm-2603 probablemente esté vinculado a agencias gubernamentales chinas y que anteriormente se conocía como Warlock y CL-CRI-1040. El grupo actuó como socio de LockBit, combinando sus herramientas con las de ecosistemas de ciberdelincuencia consolidados.
Cisco Talos presentó una serie de indicadores de compromiso, incluidos archivos descargados por los atacantes y rastros de actividad de Velociraptor detectados en los sistemas infectados.
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
