Investigadores han confirmado que el actor de amenazas Storm-2603 ha estado abusando de una versión vulnerable de Velociraptor —una herramienta legítima de respuesta a incidentes y análisis forense (DFIR)— como parte de una sofisticada cadena de ataque. Esta campaña culmina con el cifrado de servidores Windows y máquinas virtuales ESXi utilizando una combinación de ransomware Warlock, LockBit y Babuk.
El Peligro del Abuso de Herramientas de Seguridad
Esta campaña es especialmente peligrosa porque el abuso de herramientas legítimas de seguridad es doblemente eficaz:
- Evasión de Controles: El software “confiable” como Velociraptor a menudo sortea los controles de seguridad, las alertas y la sospecha humana, permitiendo a los atacantes operar sin ser detectados.
- Sofisticación del Actor: El uso combinado de tres familias de ransomware en una sola campaña indica que el actor tiene acceso a múltiples toolsets y está dispuesto a maximizar el impacto y la extorsión.
Cadena de Ataque Detallada
El ataque sigue una secuencia meticulosa desde el acceso inicial hasta el cifrado final:
- Acceso Inicial: Los atacantes obtienen un punto de apoyo en la red, probablemente explotando la vulnerabilidad ToolShell en SharePoint u otro vector no divulgado.
- Escalada de Privilegios: Instalan una versión desactualizada de Velociraptor (0.73.4.0) y explotan la vulnerabilidad CVE-2025-6264 para ejecutar comandos con privilegios elevados y tomar control total del endpoint.
- Movimiento Lateral y Persistencia: Crean cuentas administrativas y las sincronizan con Entra ID, obteniendo control sobre la administración de máquinas virtuales en vSphere. Utilizan PsExec y PowerShell para moverse lateralmente.
- Desactivación de Defensas: Modifican Políticas de Grupo (GPOs) para deshabilitar Microsoft Defender en tiempo real y otras protecciones de seguridad.
- Exfiltración y Cifrado: Exfiltran datos para la doble extorsión y luego despliegan scripts fileless de PowerShell para cifrar sistemas Windows y binarios de Linux (Babuk) para cifrar los hosts ESXi.
Indicadores de Compromiso (IOCs) Detectados
Se recomienda añadir estos IOCs a las listas de bloqueo y reglas de detección, validando previamente su contexto para evitar falsos positivos.
- IP C2 / Exfiltración: 65.38.121[.]226
- Dominio Malicioso (MSI alojado en Blob): stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net
- Servidor C2 de Velociraptor: velo[.]qaubctgg[.]workers[.]dev
- Hashes (SHA-256):
- Instalador de Velociraptor: 649BDAA38E60EDE6D140BD54CA5412F1091186A803D3905465219053393F6421
- Velociraptor.exe: 12F177290A299BAE8A363F47775FB99F305BBDD56BBDFDDB39595B43112F9FB7
- config.yaml malicioso: A29125333AD72138D299CC9EF09718DDB417C3485F6B8FE05BA88A08BB0E5023
- In.exe (herramienta NTLM downgrade): C74897B1E986E2876873ABB3B5069BF1B103667F7F0E6B4581FBDA3FD647A74A
Detección Basada en Comportamiento (TTPs)
Más allá de los IOCs, los equipos de Threat Hunting deben buscar las siguientes señales:
- La aparición de procesos de Velociraptor en endpoints que no deberían ejecutar esta herramienta.
- Ejecución de PowerShell fileless (uso de Invoke-Expression, evasión de AMSI).
- Cambios en GPOs que deshabilitan la protección en tiempo real o los controles de detección de Microsoft Defender.
- Creación de cuentas administrativas locales y su sincronización sospechosa con Entra ID / Azure AD.
- Tráfico HTTPS/TLS saliente hacia dominios workers.dev o blob.core.windows[.]net con patrones inusuales.
RECOMENDACIONES
Crítico
- Detectar y Aislar Instancias de Velociraptor: Realizar un inventario para identificar dónde está desplegado Velociraptor. Si aparece en sistemas no autorizados, aislar la máquina inmediatamente y recopilar evidencia forense.
- Bloquear IOCs: Añadir los IPs, dominios y hashes a las listas de bloqueo de firewalls, proxies y EDR.
- Verificar Parches y Versiones: Actualizar Velociraptor a una versión parcheada y segura (no usar 0.73.4.0). Aplicar los parches críticos del sistema operativo.
Alta Prioridad
- Hunt Proactivo por TTPs: Buscar activamente evidencia de la creación de cuentas de administrador, sincronizaciones con Entra ID, modificaciones de GPO y actividades inusuales en ESXi/vSphere.
- Reforzar Detección de Exfiltración: Monitorear el tráfico DNS y TLS saliente hacia blobs de Azure o dominios recién creados. Establecer alertas para transferencias de datos grandes.
Operacional / Estratégico
- Revisar Controles de Identidad: Forzar la rotación de credenciales, habilitar MFA obligatorio para administradores y auditar las sincronizaciones con Azure AD.
- Revisar Uso de Herramientas DFIR: Limitar quién puede desplegar herramientas como Velociraptor. Firmar y verificar los instaladores y archivos de configuración.
Conclusión
Esta campaña ilustra una tendencia creciente: los atacantes abusan de herramientas legítimas de seguridad y administración para operar sigilosamente. La defensa ya no consiste solo en bloquear malware conocido, sino en gestionar la confianza sobre las propias herramientas de seguridad, controlar sus versiones y detectar anomalías en su comportamiento.
