Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

✔Форензик-инструмент Velociraptor применяется для развертывания вымогателей LockBit и Babuk - «Новости»

14 октября 2025 18 Новости / Вёрстка / Заработок / Преимущества стилей / Самоучитель CSS / Изображения 0

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk.


Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам.


Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой.


Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях.


Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом.


На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами.


«После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи.


Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста.


В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ.


Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock.


В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk.


Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах».


К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor.


Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики Cisco Talos предупреждают, что инструмент Velociraptor, предназначенный для цифровой криминалистики и реагирования на инциденты, используется в атаках шифровальщиков LockBit и Babuk. Velociraptor представляет собой опенсорсный DFIR-инструмент (Digital Forensics and Incident Response), исходно созданный ИБ-специалистом Майком Коэном (Mike Cohen), а затем приобретенный компанией Rapid7, которая предлагает улучшенную версию своим клиентам. Летом текущего года исследователи из компании Sophos сообщали, что им довелось изучить атаку, в рамках которой неизвестные злоумышленники применяли Velociraptor. В частности, злоумышленники использовали его для загрузки и запуска Visual Studio Code на скомпрометированных хостах, устанавливая защищенный туннель со своей командной инфраструктурой. Тогда эксперты отмечали, что злоумышленники нередко применяют тактики living-off-the-land (LotL) и используют легитимные инструменты для удаленного мониторинга и управления в атаках, однако использование Velociraptor сигнализирует об эволюции таких тактик, когда софт для реагирования на инциденты используется во вредоносных целях. Как теперь пишут аналитики Cisco Talos, по их данным, злоумышленники нашли Velociraptor новое применением и эксплуатируют устаревшую версию инструмента, уязвимую перед багом повышения привилегий (CVE-2025-6264), который позволяет выполнять произвольные команды и захватывать контроль над хостом. На первом этапе атаки хакеры создают локальные админские аккаунты, синхронизированные с Entra ID, и используют их для доступа к консоли VMware vSphere, получив постоянный контроль над виртуальными машинами. «После получения первоначального доступа атакующие установили устаревшую версию Velociraptor (0.73.4.0), которая уязвима перед проблемой повышения привилегий (CVE-2025-6264), которая приводит к выполнению произвольных команд и захвату эндпоинта», — объясняют исследователи. Также отмечается, что старая версия Velociraptor помогла атакующим закрепиться в системе — инструмент запускался многократно, даже после изоляции хоста. В своем отчете исследователи рассказывают, что атакующие отключили защиту Defender в реальном времени, модифицировав групповые политики Active Directory (GPO), а также выключили мониторинг поведения и активности файлов и программ. Хотя EDR-решения идентифицировали шифровальщик, развернутый в скомпрометированных Windows-системах, как LockBit, расширение зашифрованных файлов было изменено на .xlockxlock, что характерно для атак вымогателя Warlock. В свою очередь, в системах VMware ESXi исследователи обнаружили Linux-бинарник, который был идентифицирован как шифровальщик Babuk. Также специалисты зафиксировали использование бесфайлового PowerShell-шифровальщика, генерирующего случайные AES-ключи при каждом запуске. Предполагается, что это был основной инструмент для «массового шифрования данных на Windows-машинах». К своему отчету исследователи прилагают два набора индикаторов компрометации, наблюдавшихся в атаках, включая файлы, загруженные злоумышленниками на скомпрометированные машины, а также файлы Velociraptor. Предполагается, что за этими атаками стоит китайская хак-группа Storm-2603 (она же CL-CRI-1040 и Gold Salem), которую аналитики компании Halcyon связывают с китайскими «правительственными» хакерами. По их данным, эта же группировка, которая стоит за шифровальщиком Warlock, ранее действовавшая как партнер LockBit.
CSS
запостил(а)
Gilmore
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: