AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales emplean Velociraptor como herramienta DFIR para desplegar ransomware LockBit y Babuk**

admin

### 1. Introducción

Recientemente, equipos de ciberseguridad han detectado una tendencia alarmante: actores maliciosos están utilizando Velociraptor, una solución legítima de digital forensics and incident response (DFIR), como parte integral de sus cadenas de ataque para desplegar variantes de ransomware tan conocidas como LockBit y Babuk. Esta táctica evidencia una evolución en las técnicas de abuso de herramientas de administración y análisis, incrementando la dificultad de detección y respuesta para los equipos SOC y los responsables de ciberseguridad.

### 2. Contexto del Incidente o Vulnerabilidad

Velociraptor es un framework de código abierto ampliamente utilizado por analistas forenses y equipos de respuesta a incidentes para la monitorización, recolección de evidencias y análisis en entornos comprometidos. Sin embargo, como ocurre con otras herramientas legítimas (por ejemplo, Cobalt Strike o Metasploit), se ha documentado su uso por parte de atacantes para evadir controles de seguridad y ejecutar sus propios scripts maliciosos.

Los casos recientemente analizados muestran cómo los atacantes emplean Velociraptor para persistencia, movimiento lateral y ejecución automatizada de cargas útiles de ransomware, aprovechando su capacidad para operar de manera sigilosa y suplantar la actividad habitual de respuesta a incidentes. Esta metodología se alinea con la tendencia de abuso de herramientas Living-off-the-Land (LOTL), complicando la respuesta defensiva.

### 3. Detalles Técnicos

El uso malicioso de Velociraptor se ha observado en ataques dirigidos mayoritariamente a infraestructuras empresariales con sistemas Windows Server 2016, 2019 y 2022, así como a endpoints Windows 10 y 11. Según informes recientes, los atacantes han incorporado los siguientes TTP (Tactics, Techniques, and Procedures) del marco MITRE ATT&CK:

– **T1071.001** (Application Layer Protocol: Web Protocols): Comunicación encubierta con C2 a través de HTTPS.
– **T1059** (Command and Scripting Interpreter): Ejecución de scripts personalizados para reconocimiento y despliegue de ransomware.
– **T1218.011** (System Binary Proxy Execution: Rundll32): Uso de binarios legítimos para ejecutar código malicioso.

No se ha asignado aún un CVE específico a esta técnica, dado que no explota una vulnerabilidad en Velociraptor, sino un abuso de sus funcionalidades. El vector inicial suele ser un acceso remoto no autorizado (explotando credenciales débiles o vulnerabilidades en RDP/VPN), seguido de la instalación de un servidor Velociraptor personalizado. Posteriormente, los atacantes utilizan artefactos preconfigurados para:

– Enumerar sistemas y usuarios privilegiados.
– Distribuir scripts de cifrado automatizado (LockBit/Babuk) a través de la red.
– Recopilar información sensible antes del cifrado (doble extorsión).

Se han detectado indicadores de compromiso (IoC) asociados al uso de Velociraptor fuera de horarios habituales, conexiones a dominios de C2 desconocidos y artefactos ejecutados en rutas no estándar.

### 4. Impacto y Riesgos

El impacto de esta técnica es significativo. El uso de Velociraptor permite a los atacantes operar bajo el radar de muchas soluciones EDR y SIEM, al camuflar su actividad como operaciones legítimas de respuesta a incidentes. Según estudios de BleepingComputer, cerca del 15% de los incidentes recientes de ransomware LockBit han involucrado el abuso de herramientas DFIR. Además, la automatización del despliegue de ransomware mediante Velociraptor incrementa la velocidad de cifrado y reduce la ventana de detección.

Los riesgos asociados incluyen:

– Compromiso total de la red empresarial en cuestión de minutos.
– Robo y cifrado de datos críticos (con impacto en GDPR y NIS2).
– Incremento de la dificultad para realizar análisis forense post-incidente.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar este vector de ataque, se recomienda:

– Restringir el uso de herramientas DFIR como Velociraptor únicamente a equipos y usuarios autorizados mediante control de aplicaciones (AppLocker, WDAC).
– Supervisar la instalación y ejecución de Velociraptor y otras herramientas similares, priorizando alertas fuera de ventanas de mantenimiento.
– Revisar periódicamente los logs de Velociraptor y correlacionarlos con eventos de acceso remoto.
– Implementar autenticación multifactor (MFA) y políticas de acceso cero-trust en VPN y RDP.
– Mantener actualizados los sistemas y emplear EDRs con detección de LOTL y técnicas basadas en comportamiento.

### 6. Opinión de Expertos

Especialistas en ciberdefensa, como Jake Williams (SANS Institute), advierten que “el abuso de herramientas DFIR es una tendencia en alza porque permite a los atacantes moverse con sigilo y automatizar ataques a gran escala”. Asimismo, recomiendan no solo vigilar la actividad de herramientas ‘de red team’, sino también las de uso legítimo por los equipos de defensa, adaptando las políticas de monitorización a estos nuevos escenarios.

### 7. Implicaciones para Empresas y Usuarios

El uso malicioso de Velociraptor implica que las empresas deben replantear su enfoque de seguridad, considerando que las herramientas legítimas pueden convertirse en armas en manos de los atacantes. Para los CISOs y responsables de cumplimiento, esto supone nuevos desafíos frente a la legislación europea (GDPR, NIS2), pues un incidente de ransomware facilitado por una herramienta DFIR puede acarrear multas significativas y daños reputacionales.

Los administradores de sistemas y analistas SOC deben reforzar los controles sobre la instalación y uso de software de administración, así como optimizar la correlación de eventos para diferenciar entre uso legítimo y malicioso.

### 8. Conclusiones

El abuso de Velociraptor por parte de operadores de ransomware como LockBit y Babuk marca una nueva etapa en la sofisticación de los ataques dirigidos. La frontera entre herramienta de defensa y arma ofensiva se difumina peligrosamente, obligando a organizaciones de todos los tamaños a endurecer sus políticas de control de aplicaciones, monitorización y respuesta ante incidentes.

La concienciación, la formación y la actualización constante de los equipos de ciberseguridad serán claves para anticipar y mitigar este tipo de amenazas emergentes.

(Fuente: www.bleepingcomputer.com)