Velociraptor felhasználása ransomware támadásokban
2025 augusztusában a Cisco Talos egy olyan ransomware támadást kezelést, amelyet a váltságdíj-követelésük és a Warlock data leak használata alapján a Warlock ransomware-hez kapcsolódó személyeknek tűntek. Warlock, LockBit és Babuk ransomware-t alkalmaztak a VMware ESXi virtuális gépek és Windows szerverek titkosítására. A Velociraptor jelentős szerepet játszott ebben a kampányban, biztosítva a támadók számára a rejtett, tartós hozzáférést a LockBit és Babuk ransomware telepítése közben. A kezdeti hozzáférés megszerzése után a támadók egy elavult Velociraptor verziót (0.73.4.0) telepítettek, amely ki volt téve egy jogosultság-emelési sérülékenységnek (CVE-2025-6264), amely tetszőleges parancsok végrehajtásához és a végpontok irányításának átvételéhez vezethetett.
A kiberszereplők állítólag a Velociraptort is felhasználták a Visual Studio Code letöltésére és futtatására, valószínűleg azzal a szándékkal, hogy alagutat hozzanak létre egy támadók által ellenőrzött C2 szerverhez.
A Talos mérsékelt bizonyossággal megállapította, hogy ez a tevékenység a Storm-2603 csoportnak tulajdonítható, az használt eszközök és TTP-k alapján. A Storm-2603 egy feltételezett kínai székhelyű kiberszereplő, amelyet először 2025 júliusában azonosítottak, amikor elkezdték kihasználni a ToolShell néven ismert onprem SharePoint sérülékenységet. Szintén hasonlóság a kampánnyal, hogy a Storm-2603 arról ismert, hogy ugyanazon esetben a Warlock és a Lockbit ransomware-t is beveti. A LockBit-et már számos ransomware szereplő széles körben alkalmazza, a Warlock-ot azonban először 2025 júniusában hirdették meg. Rendkívül szokatlan, hogy egy kiberszereplő két különböző ransomware változatot használ ugyanazon támadás során, ami megerősíti azt a gyanút, hogy ez a tevékenység a Storm-2603-hoz kapcsolódhat.
A Velociraptor ransomware eszköztárba való felvétele összhangban áll a Talos 2024-es évértékelésében szereplő megállapításokkal, amelyek kiemelik, hogy a kiberszereplő egyre többféle kereskedelmi és nyílt forráskódú terméket használnak tevékenységük során.
