Nel panorama della sicurezza informatica, le tecniche di attacco evolvono costantemente sfruttando strumenti legittimi in modi inaspettati. Un recente caso ha visto l’uso malevolo di Velociraptor, una piattaforma open-source per il monitoraggio degli endpoint e l’analisi forense digitale, che è stata sfruttata da attori sconosciuti per compromettere sistemi aziendali. L’attacco ha previsto il download e l’esecuzione di Visual Studio Code, con l’obiettivo di creare un tunnel verso un server di comando e controllo (C2) gestito dagli stessi cyber criminali.

Questo scenario rappresenta un’evoluzione significativa rispetto alle tradizionali tecniche di living-off-the-land, in cui i tool di amministrazione remota legittimi vengono adottati per evitare il rilevamento. Usare Velociraptor non solo consente agli attaccanti di ottenere un accesso iniziale senza dover sviluppare malware personalizzato, ma riduce anche le tracce lasciate sul sistema, rendendo più difficile l’identificazione da parte dei team di sicurezza. L’analisi dell’incidente ha mostrato che i cyber criminali hanno sfruttato l’utility msiexec di Windows per scaricare un installer MSI da un dominio Cloudflare Workers, usato come base per ulteriori strumenti, tra cui software di tunneling e utility di amministrazione remota come Radmin.

Il file MSI installa Velociraptor, che a sua volta comunica con un secondo dominio Cloudflare Workers. Da qui viene scaricato Visual Studio Code tramite uno script PowerShell codificato, avviando l’editor con opzioni di tunneling che permettono accesso remoto e potenziale esecuzione di codice da parte degli attaccanti. Sono stati rilevati anche download aggiuntivi di payload dalla cartella workers.dev, segno di una campagna strutturata e persistente.

Raccomandazioni per la sicurezza aziendale

Gli esperti raccomandano alle aziende di monitorare attentamente l’uso non autorizzato di Velociraptor e di considerare questi eventi come possibili segnali di attacchi ransomware. È fondamentale implementare soluzioni di rilevamento e risposta agli endpoint, sorvegliare comportamenti sospetti e adottare pratiche di backup e sicurezza avanzate.

Aumento degli attacchi tramite piattaforme di collaborazione

Parallelamente, si osserva un incremento nell’uso di piattaforme di collaborazione come Microsoft Teams per veicolare attacchi di phishing e malware, sfruttando la fiducia nelle comunicazioni aziendali. Queste campagne, spesso condotte impersonando team di supporto IT, puntano a far installare software di accesso remoto per esfiltrare dati sensibili e compromettere credenziali.

Le imprese devono quindi rafforzare la formazione del personale, monitorare i log di audit e integrare segnali contestuali per individuare tempestivamente tentativi di ingegneria sociale e accessi anomali.