Velociraptor

Pesquisadores em cibersegurança alertaram sobre um ataque cibernético que utiliza a ferramenta de monitoramento e forense digital de código aberto chamada Velociraptor. Os atacantes empregaram essa ferramenta para baixar e executar o Visual Studio Code, possivelmente com a intenção de criar um túnel para um servidor de comando e controle (C2) controlado por eles. O uso do Velociraptor representa uma evolução tática, onde programas de resposta a incidentes são utilizados para obter acesso e reduzir a necessidade de implantar malware próprio. A análise revelou que os atacantes usaram o utilitário msiexec do Windows para baixar um instalador MSI de um domínio da Cloudflare, que serve como base para outras ferramentas, incluindo um utilitário de administração remota. Além disso, a Sophos recomenda que as organizações monitorem o uso não autorizado do Velociraptor, pois isso pode ser um precursor de ataques de ransomware. O artigo também menciona campanhas maliciosas que exploram o Microsoft Teams para acesso inicial, refletindo um padrão crescente de uso de plataformas confiáveis para a implantação de malware. Os ataques se disfarçam como assistência técnica, dificultando a detecção. A situação é preocupante, pois os atacantes estão cada vez mais sofisticados em suas abordagens, utilizando técnicas que burlam as defesas tradicionais.

Uma nova campanha de ataque, investigada pela unidade de Contra-Ameaças da Sophos, revela como cibercriminosos estão mudando suas táticas ao usar ferramentas de segurança legítimas como armas ofensivas. Neste caso, os atacantes utilizaram a ferramenta de resposta a incidentes Velociraptor, normalmente empregada por defensores, para estabelecer acesso remoto e facilitar compromissos adicionais. O ataque começou com o uso do utilitário msiexec do Windows, que baixou um instalador malicioso. Após a instalação do Velociraptor, os atacantes executaram um comando PowerShell codificado para buscar o Visual Studio Code, utilizando sua capacidade de tunelamento para criar um canal covert para seu servidor de comando e controle. A utilização inesperada do tunelamento do Visual Studio Code acionou um alerta da Taegis™, permitindo que analistas da Sophos isolassem rapidamente o host afetado, prevenindo uma possível implementação de ransomware. A análise revelou que os atacantes já haviam preparado o terreno para fases posteriores da operação, que poderiam incluir criptografia de dados e extorsão. Este incidente destaca a crescente vulnerabilidade de softwares confiáveis à manipulação, exigindo que os defensores tratem o uso anômalo de ferramentas como Velociraptor como indicadores sérios de comprometimento.