Hackers chinos utilizan herramienta Velociraptor para ataques de ransomware sofisticados

Velociraptor: la herramienta de IR usada por hackers chinos en ataques de ransomware

En los últimos años, la actividad de grupos de hackers patrocinados por estados ha aumentado en sofisticación y alcance, siendo China uno de los actores más destacados. Recientemente, analistas de ciberseguridad han revelado que actores chinos están utilizando Velociraptor, una herramienta de respuesta ante incidentes avanzada, como parte integral de sus campañas de ransomware. Esta estrategia eleva el nivel de amenaza y complica la detección y mitigación de estos ataques.

Velociraptor: de herramienta legítima a vector para actividad maliciosa

Velociraptor es una plataforma de código abierto para respuesta ante incidentes (IR) que permite a los equipos de seguridad recolectar y analizar datos forenses en sistemas comprometidos con gran eficiencia. Su diseño facilita la búsqueda rápida de evidencia y el monitoreo en tiempo real en infraestructuras distribuidas.

Sin embargo, este software legítimo ha sido aprovechado indebidamente por actores de amenazas chinos para mejorar la eficacia de sus ataques ransomware. Al operar mediante Velociraptor, pueden ejecutar comandos remotos, moverse lateralmente dentro de la red y exfiltrar información, todo bajo un marco que parece legítimo para muchas herramientas de seguridad, dificultando su detección.

Estrategia de ataque y modus operandi

El esquema observado en estas campañas sigue una táctica sofisticada:

Intrusión inicial: Se aprovechan vulnerabilidades conocidas o ataques de ingeniería social para establecer una presencia inicial en la red objetivo.
Despliegue de Velociraptor: Los operadores instalan y configuran Velociraptor en sistemas comprometidos para obtener visibilidad y control.
Reconocimiento y movimiento lateral: Utilizan la plataforma para identificar activos valiosos y explorar otras partes de la red con sigilo.
Preparación y ejecución del ransomware: Tras asegurar el entorno y tomar medidas para evitar contramedidas, lanzan el ransomware para cifrar los sistemas críticos.
Exfiltración de datos: Antes del cifrado, suelen extraer información confidencial a modo de doble extorsión.

Este enfoque incrementa significativamente la efectividad del ataque, dificultando que las soluciones de seguridad detecten actividades anómalas, dado que Velociraptor está diseñado para tareas legítimas dentro de equipos de IR.

Implicaciones para la ciberseguridad corporativa

La utilización de herramientas legítimas para acciones maliciosas representa un desafío creciente. El uso de Velociraptor por actores chinos en campañas ransomware impone la necesidad de adaptar las estrategias defensivas. Las empresas deben implementar:

Sistemas de monitoreo que puedan distinguir entre uso legítimo y malicioso de herramientas IR.
Revisión exhaustiva de permisos y controles de acceso para herramientas sensibles.
Capacitación continua a equipos de ciberseguridad para reconocer patrones de comportamiento vinculados a intrusiones avanzadas.
Implementación de análisis de comportamiento y corrección rápida ante anomalías.

La cooperación entre equipos de seguridad, proveedores y la comunidad de código abierto es vital para detectar y mitigar el abuso de estas plataformas.

Conclusión

La explotación de Velociraptor por hackers chinos en campañas de ransomware demuestra la evolución constante de las tácticas de amenazas y la complejidad para la detección temprana de ataques. La adaptabilidad y el conocimiento profundo de las herramientas IR por parte de los defensores serán claves para contrarrestar esta modalidad peligrosa. Preparar entornos resilientes con estrategias proactivas y controles efectivos marca la diferencia entre minimizar o sucumbir ante estas amenazas avanzadas.

Fuente: https://www.darkreading.com/cybersecurity-operations/chinese-hackers-velociraptor-ir-tool-ransomware-attacks

← Cierre Federal al Sitio de Extorsión de ShinyHunters que Atacaba a Salesforce Microsoft impulsa Sentinel con nuevas capacidades de IA agente para una seguridad en la nube más inteligente →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil