Ataques de Ransomware Usam Ferramenta Velociraptor por Atores Ameaçadores

BR Defense Center (By River de Morais e Silva)
ransomware

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

Os atacantes instalaram uma versão desatualizada do Velociraptor, vulnerável a uma falha de escalonamento de privilégios (CVE-2025-6264), permitindo a execução de comandos arbitrários. Eles criaram contas administrativas e modificaram políticas do Active Directory para desabilitar proteções em tempo real. A criptografia dos arquivos foi realizada por um script PowerShell, resultando na adição da extensão ‘.xlockxlock’ aos arquivos afetados. A exfiltração de dados foi realizada através de scripts que enviavam arquivos para um servidor externo, utilizando técnicas de evasão para evitar detecções. Este caso destaca a evolução das táticas de ransomware, mostrando como ferramentas legítimas podem ser usadas para fins maliciosos.

Fonte: https://cyberpress.org/ransomware-attacks-2/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
09/10/2025 • Risco: ALTO
RANSOMWARE

Ataques de Ransomware Usam Ferramenta Velociraptor por Atores Ameaçadores

RESUMO EXECUTIVO
O uso de Velociraptor por atores de ransomware representa uma nova ameaça que combina ferramentas legítimas com táticas maliciosas. A exploração de vulnerabilidades conhecidas e a manipulação de políticas de segurança exigem uma resposta rápida e eficaz para mitigar riscos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos potenciais associados à recuperação de dados e interrupção de serviços.
Operacional
Criptografia de arquivos e exfiltração de dados.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']

📊 INDICADORES CHAVE

Múltiplas variantes de ransomware utilizadas em um único ataque. Indicador
Vulnerabilidade CVE-2025-6264 explorada. Contexto BR
Extensões de arquivos criptografados: '.xlockxlock' e '.babyk'. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a versão do Velociraptor em uso e aplicar patches disponíveis.
2 Desabilitar o acesso não autorizado e revisar políticas de Active Directory.
3 Monitorar atividades suspeitas em servidores e redes, especialmente relacionadas a scripts PowerShell.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a utilização de ferramentas legítimas em ataques, o que pode comprometer a segurança das infraestruturas.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD, especialmente em casos de exfiltração de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).