O mundo da cibersegurança vive uma reviravolta irónica: uma ferramenta concebida para ajudar os "mocinhos" a investigar incidentes digitais está a ser usada por "vilões" para lançar ataques devastadores. De acordo com os investigadores da Cisco Talos, grupos de hackers começaram a utilizar o Velociraptor, uma ferramenta de resposta a incidentes e análise forense digital (DFIR), para distribuir os conhecidos ransomwares LockBit e Babuk.
A Cisco Talos, no seu relatório, aponta com confiança média para um adversário sediado na China, conhecido como Storm-2603. Esta conclusão é reforçada por um relatório da empresa de segurança Halcyon, que associa o grupo Storm-2603 a atores estatais chineses e o identifica como um afiliado do ransomware Warlock.
Uma ferramenta de ‘mocinho’ nas mãos dos ‘vilões’
O Velociraptor é uma poderosa ferramenta open-source, originalmente criada por Mike Cohen e posteriormente adquirida pela Rapid7, que aprimorou a sua versão para clientes. A sua função é permitir que equipas de segurança analisem e respondam a incidentes em sistemas informáticos. No entanto, os atacantes estão a subverter este propósito.
O grupo Storm-2603 utilizou uma versão desatualizada do Velociraptor (0.73.4.0), que continha uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Esta falha permite a execução de comandos arbitrários, o que, na prática, dá aos atacantes o controlo total do sistema comprometido. A Sophos já tinha alertado em agosto que cibercriminosos estavam a abusar da ferramenta para obter acesso remoto.
Acesso persistente e furtivo
A cadeia de ataque revelada pela Cisco Talos é sofisticada. Na fase inicial, os cibercriminosos criam contas de administrador locais, sincronizando-as com o Entra ID (anteriormente Azure Active Directory) para aceder à consola do VMware vSphere. Este passo garante-lhes controlo persistente sobre as máquinas virtuais da vítima.
Após ganharem acesso, instalam a versão vulnerável do Velociraptor, que lhes serve como um ponto de apoio para manter a persistência na rede, mesmo que o sistema seja isolado. Os investigadores observaram que a ferramenta era executada múltiplas vezes para garantir a sua presença. Para se moverem lateralmente na rede, os atacantes utilizaram comandos do Impacket e criaram tarefas agendadas.
Para operar sem serem detetados, os hackers desativaram a proteção em tempo real do Microsoft Defender, modificando as políticas de grupo do Active Directory, e desligaram a monitorização de comportamento e de atividade de ficheiros.
Dupla extorsão com selo chinês?
Nos sistemas Windows, as soluções de segurança identificaram o ransomware como LockBit. No entanto, a extensão dos ficheiros encriptados era ".xlockxlock", associada ao ransomware Warlock, o que reforça a ligação feita pela Halcyon. Em sistemas VMware ESXi, foi encontrado um binário Linux detetado como o ransomware Babuk.
Além disso, os investigadores da Cisco Talos descobriram um encriptador "fileless" (sem ficheiros) em PowerShell, que gerava chaves de encriptação AES aleatórias a cada execução e que terá sido a principal ferramenta para a encriptação em massa nas máquinas Windows.
Antes de cifrar os dados, o grupo utilizou outro script em PowerShell para exfiltrar os ficheiros, preparando o terreno para um esquema de dupla extorsão. Este script incluía pausas deliberadas para iludir a deteção em ambientes de análise automatizada, um sinal claro da perícia dos atacantes neste ciberataque.
Nenhum comentário
Seja o primeiro!