Hackers agora usam a ferramenta Velociraptor DFIR em ataques de ransomware – Against Invaders – Notícias de CyberSecurity para humanos.

Picus BAS Summit

Os agentes de ameaças começaram a usar a ferramenta forense digital e resposta a incidentes (DFIR) Velociraptor em ataques que implantam o ransomware LockBit e Babuk.

Os pesquisadores do Cisco Talos avaliam com confiança média que o invasor por trás das campanhas é um adversário baseado na China rastreado como Storm-2603.

O Velociraptor é um ferramenta DFIR de código aberto criado por Mike Cohen. O projeto foi adquirido pela Rapid7, que fornece uma versão aprimorada para seus clientes.

A empresa de segurança cibernética Sophos informou em 26 de agostoque os hackers estavam abusando do Velociraptor para acesso remoto. Especificamente, os agentes de ameaças o aproveitaram para baixar e executar o Visual Studio Code em hosts comprometidos, estabelecendo um túnel de comunicação seguro com a infraestrutura de comando e controle (C2).

Em um relatório hoje cedo, empresa de proteção contra ransomwareHalcyon avalia queStorm-2603 está conectado comEstado-nação chinêsatores, é o mesmo grupo que Warlock ransomwareeCL-CRI-1040, e atuou como uma afiliada do LockBit.

Acesso persistente furtivo

O Cisco Talos diz que o adversário usou uma versão desatualizada do Velociraptor que era vulnerável a um problema de segurança de escalonamento de privilégios identificado como CVE-2025-6264, que poderia permitir a execução arbitrária de comandos e assumir o controle do host.

No primeiro estágio do ataque, o agente da ameaça criou contas de administrador local que foram sincronizadas com o Entra ID e as usou para acessar o console do VMware vSphere, dando a eles controle persistente sobre as máquinas virtuais (VMs).

“Depois de obter acesso inicial, os atores instalaram uma versão desatualizada do Velociraptor (versão 0.73.4.0) que foi exposta a uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264) que poderia levar à execução arbitrária de comandos e controle de endpoint”, explica o Cisco Talos.

Os pesquisadores observaram que o Velociraptor ajudou os invasores a manter a persistência, lançando-o várias vezes, mesmo depois que o hospedeiro foi isolado.

Eles também observaram a execução de comandos no estilo Impacket smbexec para executar programas remotamente e a criação de tarefas agendadas para scripts em lote.

Os invasores desabilitaram a proteção em tempo real do Defender modificando os GPOs do Active Directory e desativaram o comportamento e o monitoramento de atividades de arquivos/programas.

As soluções de detecção e resposta de endpoint (EDR) identificaram o ransomware implantado nos sistemas de destino do Windows como LockBit, mas a extensão para os arquivos criptografados era “.xlockxlock”, vista nos ataques de ransomware do Warlock.

EmSistemas VMware ESXi, os pesquisadores encontraram um binário Linux que foi detectado comoBabuk ransomware.

Os pesquisadores do Cisco Talos também observaram o uso de um criptografador PowerShell sem arquivo que gerava chaves AES aleatórias por execução, que se acredita ser a principal ferramenta para “criptografia em massa nas máquinas Windows”.

Antes de criptografar os dados, o invasor usou outro script do PowerShell para exfiltrar arquivos para fins de dupla extorsão. O script usa ‘Start-Sleep’ para inserir atrasos entre as ações de upload para evitar ambientes de sandbox e análise.

Os pesquisadores do Cisco Talos fornecem dois conjuntos de Indicadores de comprometimento (IoCs) observados nos ataques, que incluem arquivos que o agente da ameaça carregou nas máquinas comprometidas e arquivos do Velociraptor.


Picus BAS Summit

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.