Ataques usam Velociraptor para implantar ransomware LockBit e Babuk
10 de Outubro de 2025

Pesquisadores da Cisco Talos identificaram que atores maliciosos passaram a utilizar a ferramenta de forense digital e resposta a incidentes (DFIR) Velociraptor em ataques envolvendo os ransomwares LockBit e Babuk.

Com nível médio de confiança, os especialistas atribuem essas campanhas a um grupo adversário baseado na China, conhecido como Storm-2603.

O Velociraptor, ferramenta open-source criada por Mike Cohen, foi adquirida pela Rapid7, que oferece uma versão aprimorada para seus clientes.

Em 26 de agosto, a empresa de segurança cibernética Sophos relatou que hackers estavam abusando do Velociraptor para acesso remoto.

Os invasores utilizaram a ferramenta para baixar e executar o Visual Studio Code nas máquinas comprometidas, criando um túnel seguro de comunicação com a infraestrutura de comando e controle (C2).

Em relatório divulgado hoje, a empresa especializada em proteção contra ransomware Halcyon aponta que o grupo Storm-2603, ligado a atores estatais chineses, seria o responsável pelo ransomware Warlock e pela ameaça CL-CRI-1040, além de atuar como afiliado do LockBit.

Segundo a Cisco Talos, o adversário utilizou uma versão desatualizada do Velociraptor vulnerável a uma falha de escalonamento de privilégios, identificada como CVE-2025-6264 .

Essa vulnerabilidade poderia permitir a execução arbitrária de comandos e o controle total do sistema.

Na primeira fase do ataque, os invasores criaram contas locais de administrador sincronizadas ao Entra ID e as utilizaram para acessar o console do VMware vSphere, garantindo controle persistente sobre as máquinas virtuais (VMs).

“Após obter o acesso inicial, os atores instalaram a versão antiga do Velociraptor (0.73.4.0), exposta à vulnerabilidade CVE-2025-6264 , que permite execução arbitrária de comandos e tomada de controle do endpoint”, explica a Cisco Talos.

Os pesquisadores observaram que o Velociraptor foi acionado repetidamente para manter a persistência, mesmo após a isolação do host.

Além disso, comandos no estilo Impacket smbexec foram usados para execução remota de programas, e tarefas agendadas foram criadas para rodar scripts em lote.

Os atacantes desativaram a proteção em tempo real do Microsoft Defender ao alterar políticas de grupo (GPOs) no Active Directory, além de desabilitar o monitoramento de comportamento e a análise de arquivos e programas.

Soluções de endpoint detection and response (EDR) identificaram o LockBit como o ransomware utilizado nos sistemas Windows.

Curiosamente, a extensão dos arquivos criptografados era “.xlockxlock”, característica de ataques com Warlock.

Nos sistemas VMware ESXi, foi detectado um binário Linux associado ao ransomware Babuk.

Também foi observada a utilização de um encryptor PowerShell fileless, que gera chaves AES aleatórias a cada execução e foi apontado como o principal mecanismo de criptografia em massa nas máquinas Windows.

Antes da criptografia dos dados, um script PowerShell foi usado para exfiltrar arquivos, prática conhecida como double extortion.

O código emprega o comando ‘Start-Sleep’ para inserir pausas entre as operações de upload, dificultando análises em sandboxes.

Por fim, a Cisco Talos disponibiliza duas listas de indicadores de comprometimento (IoCs) identificados nos ataques, contendo arquivos enviados pelos invasores e componentes do Velociraptor utilizados nas ações maliciosas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...