Cibercriminosos exploram Velociraptor para acesso remoto

BR Defense Center (By River de Morais e Silva)
ataque

Uma nova campanha de ataque, investigada pela unidade de Contra-Ameaças da Sophos, revela como cibercriminosos estão mudando suas táticas ao usar ferramentas de segurança legítimas como armas ofensivas. Neste caso, os atacantes utilizaram a ferramenta de resposta a incidentes Velociraptor, normalmente empregada por defensores, para estabelecer acesso remoto e facilitar compromissos adicionais. O ataque começou com o uso do utilitário msiexec do Windows, que baixou um instalador malicioso. Após a instalação do Velociraptor, os atacantes executaram um comando PowerShell codificado para buscar o Visual Studio Code, utilizando sua capacidade de tunelamento para criar um canal covert para seu servidor de comando e controle. A utilização inesperada do tunelamento do Visual Studio Code acionou um alerta da Taegis™, permitindo que analistas da Sophos isolassem rapidamente o host afetado, prevenindo uma possível implementação de ransomware. A análise revelou que os atacantes já haviam preparado o terreno para fases posteriores da operação, que poderiam incluir criptografia de dados e extorsão. Este incidente destaca a crescente vulnerabilidade de softwares confiáveis à manipulação, exigindo que os defensores tratem o uso anômalo de ferramentas como Velociraptor como indicadores sérios de comprometimento.

Fonte: https://cyberpress.org/velociraptor-cyberattack/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
28/08/2025 • Risco: ALTO
ATAQUE

Cibercriminosos exploram Velociraptor para acesso remoto

RESUMO EXECUTIVO
O uso de Velociraptor como ferramenta de ataque destaca a necessidade de vigilância constante sobre ferramentas de segurança. A possibilidade de um ataque de ransomware em organizações que utilizam essas ferramentas é uma preocupação significativa, especialmente em setores críticos como tecnologia e finanças.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos potenciais associados à recuperação de dados e interrupção de serviços.
Operacional
Possível implantação de ransomware e comprometimento de dados.
Setores vulneráveis
['Tecnologia da informação', 'Serviços financeiros', 'Saúde']

📊 INDICADORES CHAVE

Uso de Velociraptor como ferramenta de ataque. Indicador
Alerta da Taegis™ que levou à mitigação do ataque. Contexto BR
Identificação de várias famílias de malware durante a investigação. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de uso do Velociraptor e do Visual Studio Code.
2 Isolar sistemas que apresentem atividades suspeitas.
3 Monitorar continuamente o tráfego de rede e acessos a domínios externos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a manipulação de ferramentas de segurança, que podem ser usadas para comprometer sistemas críticos.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).