Pesquisadores da Cisco Talos identificaram que atores maliciosos passaram a utilizar a ferramenta de forense digital e resposta a incidentes (DFIR) Velociraptor em ataques envolvendo os ransomwares LockBit e Babuk.
Com nível médio de confiança, os especialistas atribuem essas campanhas a um grupo adversário baseado na China, conhecido como Storm-2603.
O Velociraptor, ferramenta open-source criada por Mike Cohen, foi adquirida pela Rapid7, que oferece uma versão aprimorada para seus clientes.
Em 26 de agosto, a empresa de segurança cibernética Sophos relatou que hackers estavam abusando do Velociraptor para acesso remoto.
Os invasores utilizaram a ferramenta para baixar e executar o Visual Studio Code nas máquinas comprometidas, criando um túnel seguro de comunicação com a infraestrutura de comando e controle (C2).
Em relatório divulgado hoje, a empresa especializada em proteção contra ransomware Halcyon aponta que o grupo Storm-2603, ligado a atores estatais chineses, seria o responsável pelo ransomware Warlock e pela ameaça CL-CRI-1040, além de atuar como afiliado do LockBit.
Segundo a Cisco Talos, o adversário utilizou uma versão desatualizada do Velociraptor vulnerável a uma falha de escalonamento de privilégios, identificada como
CVE-2025-6264
.
Essa vulnerabilidade poderia permitir a execução arbitrária de comandos e o controle total do sistema.
Na primeira fase do ataque, os invasores criaram contas locais de administrador sincronizadas ao Entra ID e as utilizaram para acessar o console do VMware vSphere, garantindo controle persistente sobre as máquinas virtuais (VMs).
“Após obter o acesso inicial, os atores instalaram a versão antiga do Velociraptor (0.73.4.0), exposta à vulnerabilidade
CVE-2025-6264
, que permite execução arbitrária de comandos e tomada de controle do endpoint”, explica a Cisco Talos.
Os pesquisadores observaram que o Velociraptor foi acionado repetidamente para manter a persistência, mesmo após a isolação do host.
Além disso, comandos no estilo Impacket smbexec foram usados para execução remota de programas, e tarefas agendadas foram criadas para rodar scripts em lote.
Os atacantes desativaram a proteção em tempo real do Microsoft Defender ao alterar políticas de grupo (GPOs) no Active Directory, além de desabilitar o monitoramento de comportamento e a análise de arquivos e programas.
Soluções de endpoint detection and response (EDR) identificaram o LockBit como o ransomware utilizado nos sistemas Windows.
Curiosamente, a extensão dos arquivos criptografados era “.xlockxlock”, característica de ataques com Warlock.
Nos sistemas VMware ESXi, foi detectado um binário Linux associado ao ransomware Babuk.
Também foi observada a utilização de um encryptor PowerShell fileless, que gera chaves AES aleatórias a cada execução e foi apontado como o principal mecanismo de criptografia em massa nas máquinas Windows.
Antes da criptografia dos dados, um script PowerShell foi usado para exfiltrar arquivos, prática conhecida como double extortion.
O código emprega o comando ‘Start-Sleep’ para inserir pausas entre as operações de upload, dificultando análises em sandboxes.
Por fim, a Cisco Talos disponibiliza duas listas de indicadores de comprometimento (IoCs) identificados nos ataques, contendo arquivos enviados pelos invasores e componentes do Velociraptor utilizados nas ações maliciosas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...