AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Velociraptor bajo asedio: su uso malicioso por Storm-2603 en campañas de ransomware Warlock y LockBit

admin

#### Introducción

El panorama de amenazas continúa evolucionando con la adopción de herramientas legítimas de ciberseguridad por parte de actores maliciosos. Recientemente, la comunidad profesional ha sido alertada sobre la utilización de Velociraptor, una reconocida herramienta DFIR (Digital Forensics and Incident Response) de código abierto, en operaciones de ransomware avanzadas. Según un informe de Sophos publicado el pasado mes, el grupo Storm-2603 —también identificado como CL-CRI-1040 o Gold Salem— está explotando Velociraptor para facilitar despliegues de las familias de ransomware Warlock y LockBit. Este artículo desglosa el incidente desde una perspectiva técnica, analizando vectores de ataque, TTPs, IoCs y las implicaciones para la gestión de riesgos en organizaciones sujetas a regulaciones como GDPR o la directiva NIS2.

#### Contexto del Incidente

Velociraptor, desarrollado originalmente para responder y analizar incidentes de seguridad en endpoints, ha ganado popularidad entre equipos SOC y especialistas en respuesta a incidentes por su capacidad de automatización y su flexibilidad para recolectar evidencias forenses en entornos Windows, Linux y macOS. No obstante, su naturaleza open source y la facilidad de despliegue han convertido la herramienta en un objetivo atractivo para su uso malicioso.

El grupo Storm-2603, asociado históricamente a la distribución de ransomware LockBit y Warlock, ha incorporado Velociraptor en su cadena de ataque. Los análisis forenses recientes muestran que los operadores utilizan la herramienta para realizar reconocimiento avanzado y exfiltración de datos previos a la activación del ransomware. Este modus operandi fue identificado en varios incidentes documentados entre marzo y mayo de 2024, afectando especialmente a sectores industriales y de servicios críticos en Europa y Estados Unidos.

#### Detalles Técnicos

##### CVEs y vectores de ataque

Aunque la explotación directa de vulnerabilidades en Velociraptor no ha sido reportada, los atacantes despliegan instancias maliciosas de la herramienta en sistemas previamente comprometidos mediante otros vectores, como phishing, explotación de RDP expuesto o vulnerabilidades conocidas en servicios de acceso remoto (por ejemplo, CVE-2023-34362, relacionado con el acceso no autorizado en plataformas de gestión de endpoints).

##### TTPs y encaje MITRE ATT&CK

Las técnicas observadas encajan con los siguientes TTPs del framework MITRE ATT&CK:

– **T1071.001 – Application Layer Protocol: Web Protocols:** Uso de canales HTTP/HTTPS para el C2 y la exfiltración de datos.
– **T1059 – Command and Scripting Interpreter:** Automatización de scripts para el despliegue de Velociraptor y movimientos laterales.
– **T1005 – Data from Local System:** Recopilación y extracción de datos sensibles mediante queries personalizadas de Velociraptor.
– **T1567 – Exfiltration Over Web Service:** Exfiltración de datos recolectados a servidores externos bajo control del atacante.

##### Indicadores de compromiso (IoC)

– Instalación no autorizada de Velociraptor en endpoints sin justificación operativa.
– Comunicación persistente con direcciones IP no corporativas, ubicadas principalmente en Rusia y Sudeste Asiático.
– Logs de Velociraptor manipulados o eliminados tras la ejecución de ransomware.
– Uso de cuentas locales o privilegios elevados para el despliegue silencioso.

El uso de frameworks como Metasploit y Cobalt Strike se ha detectado en fases previas, facilitando la persistencia y la elevación de privilegios antes de la instalación de Velociraptor.

#### Impacto y Riesgos

El abuso de Velociraptor eleva la sofisticación y el éxito de las campañas de ransomware al proporcionar a los operadores capacidades avanzadas de reconocimiento, persistencia y exfiltración sin levantar alertas tradicionales. Según los datos recabados, más del 40% de los incidentes atribuidos a Storm-2603 en el primer semestre de 2024 implicaron la instalación de herramientas DFIR legítimas como Velociraptor para apoyo operacional.

El impacto potencial incluye:

– Exfiltración masiva de datos antes de la activación del ransomware, incrementando el riesgo de doble extorsión.
– Dificultad para la detección temprana, ya que los artefactos generados por Velociraptor pueden pasar inadvertidos para soluciones SIEM/SOC poco afinadas.
– Riesgo de incumplimiento de GDPR y NIS2, con sanciones económicas que pueden superar el 4% de la facturación global.

#### Medidas de Mitigación y Recomendaciones

– **Control de aplicaciones:** Implementación de allowlisting y monitorización de herramientas DFIR en endpoints.
– **Segregación de privilegios:** Revisión periódica de cuentas administrativas y desactivación de credenciales innecesarias.
– **Detección avanzada:** Configuración de alertas específicas en SIEM para la instalación y ejecución de Velociraptor fuera de ventanas de mantenimiento autorizadas.
– **Revisión de logs:** Auditoría continua de logs de seguridad y de actividad en endpoints, identificando patrones anómalos de uso.
– **Parcheo y hardening:** Asegurar la actualización constante de sistemas y limitar el acceso a puertos y servicios de administración remota.

#### Opinión de Expertos

Especialistas como Chester Wisniewski, Technical Director en Sophos, subrayan la necesidad de que las organizaciones revisen sus políticas de uso de herramientas open source en entornos productivos: “El uso malicioso de Velociraptor demuestra que cualquier utilidad legítima puede ser un arma de doble filo si no se gestiona adecuadamente. La clave está en la visibilidad y el control granular”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el riesgo de abuso de herramientas DFIR implica la necesidad de políticas más estrictas de gestión de software y privilegios. La adopción de controles de acceso robustos y la formación continua del personal de IT son esenciales. Los usuarios corporativos deben estar alertas ante comportamientos inusuales en sus equipos, especialmente instalaciones no autorizadas o ralentizaciones anómalas.

El mercado de soluciones EDR/XDR está respondiendo con capacidades de detección mejoradas para este tipo de amenazas, pero persiste la brecha entre la detección y la respuesta efectiva.

#### Conclusiones

El caso de Velociraptor pone de manifiesto la sofisticación de grupos como Storm-2603 y la importancia de una gestión proactiva de herramientas de seguridad. Las organizaciones deben invertir en detección avanzada, segmentación de privilegios y concienciación para mitigar el riesgo de que sus propios recursos sean utilizados en su contra. El cumplimiento normativo y la ciber-resiliencia pasan hoy por un control minucioso de cada componente del arsenal digital corporativo.

(Fuente: feeds.feedburner.com)