Ameaças de ransomware exploram vulnerabilidades do Velociraptor

BR Defense Center (By River de Morais e Silva)
ransomware

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

Fonte: https://thehackernews.com/2025/10/hackers-turn-velociraptor-dfir-tool.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
11/10/2025 • Risco: ALTO
RANSOMWARE

Ameaças de ransomware exploram vulnerabilidades do Velociraptor

RESUMO EXECUTIVO
O uso do Velociraptor em ataques de ransomware por parte do Storm-2603 destaca a necessidade de vigilância constante e atualização de ferramentas de segurança. A exploração de vulnerabilidades conhecidas pode resultar em compromissos severos, exigindo que as empresas adotem medidas proativas para proteger seus sistemas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções operacionais e custos de recuperação.
Operacional
Comprometimento de sistemas, criação de contas de administrador e exfiltração de dados.
Setores vulneráveis
['Tecnologia da informação', 'Serviços financeiros', 'Saúde']

📊 INDICADORES CHAVE

Primeiro caso de vinculação do Storm-2603 ao uso do ransomware Babuk. Indicador
Uso de Velociraptor versão 0.73.4.0, vulnerável a CVE-2025-6264. Contexto BR
Grupo Storm-2603 emergiu em junho de 2025. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a versão do Velociraptor em uso e aplicar patches disponíveis.
2 Desativar o acesso remoto e revisar as políticas de segurança do Active Directory.
3 Monitorar atividades suspeitas e tentativas de escalonamento de privilégios na rede.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de ransomware e a exploração de ferramentas de segurança, que podem comprometer a integridade dos sistemas.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).