Redazione RHC : 11 octubre 2025 08:49
Los hackers han comenzado a usar Velociraptor , la herramienta de análisis forense digital y respuesta a incidentes (DFIR), para lanzar ataques de ransomware como LockBit y Babuk. Los investigadores de Cisco Talos atribuyen estas campañas al grupo Storm-2603, que opera en China.
Según los analistas, los atacantes utilizaron una versión obsoleta de Velociraptor con una vulnerabilidad de escalada de privilegios ( CVE-2025-6264, puntuación CVSS 5,5) para obtener control completo sobre los sistemas infectados.
Velociraptor fue creado por Mike Cohen como una herramienta DFIR de código abierto y posteriormente adquirido por Rapid7, que está desarrollando una versión comercial. A finales de agosto, investigadores de Sophos informaron que los atacantes ya utilizaban este software para acceso remoto. Lo utilizaban para descargar y ejecutar Visual Studio Code en hosts infectados, creando un túnel de comunicación seguro con servidores C2.
Según Cisco Talos, el ataque comenzó con la creación de cuentas de administrador local sincronizadas con el ID de inicio de sesión . Con estas cuentas, los atacantes iniciaron sesión en la consola de VMware vSphere y establecieron presencia en la infraestructura virtual.
Luego instalaron una versión anterior de Velociraptor, la 0.73.4.0, que contenía la vulnerabilidad CVE-2025-6264, lo que les permitía ejecutar comandos arbitrarios y tomar el control del sistema . La herramienta se reutilizó incluso después de aislar el host, lo que garantizó una presencia persistente en la red.
Los atacantes también usaron comandos smbexec similares a Impacket para iniciar programas de forma remota y crear tareas programadas con scripts por lotes. Para debilitar la seguridad, deshabilitaron los módulos de protección de Microsoft Defender, incluyendo la supervisión de la actividad de archivos y procesos, mediante la directiva de grupo de Active Directory.
Las herramientas de detección de amenazas detectaron el ransomware LockBit ejecutándose en computadoras con Windows, pero los archivos cifrados tenían la extensión “. xlockxlock ”, que también se vio en los ataques de Warlock .
En servidores VMware ESXi, los investigadores encontraron un binario de Linux identificado como Babuk . Se utilizó un ransomware de PowerShell sin archivos para el cifrado masivo de datos, generando nuevas claves AES con cada ejecución. Anteriormente, otro script de PowerShell descargó documentos para una doble extorsión, lo que añadió retrasos entre operaciones para evadir los entornos aislados y los sistemas de análisis.
Halcyon señaló en su investigación que Storm-2603 probablemente esté vinculado a agencias gubernamentales chinas y que anteriormente se conocía como Warlock y CL-CRI-1040. El grupo actuó como socio de LockBit, combinando sus herramientas con las de ecosistemas de ciberdelincuencia consolidados.
Cisco Talos presentó una serie de indicadores de compromiso, incluidos archivos descargados por los atacantes y rastros de actividad de Velociraptor detectados en los sistemas infectados.
RedazioneLa semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de...
