Negli ultimi mesi, la comunità della sicurezza informatica ha assistito a un nuovo e preoccupante trend: l'abuso di Velociraptor, un noto strumento open-source per digital forensics e incident response (DFIR), da parte di gruppi criminali legati al ransomware. In particolare, il gruppo chiamato Storm-2603 ha impiegato Velociraptor per facilitare attacchi ransomware come LockBit, Warlock e Babuk.

Storm-2603: tecniche e strumenti utilizzati

Storm-2603, noto anche come CL-CRI-1040 o Gold Salem, ha sfruttato vulnerabilità di SharePoint note come ToolShell per ottenere l'accesso iniziale ai sistemi delle vittime. Una volta compromesso l’ambiente, gli attaccanti hanno distribuito una versione obsoleta di Velociraptor vulnerabile a una grave escalation di privilegi (CVE-2025-6264). Questo ha permesso loro di eseguire comandi arbitrari e prendere il controllo completo degli endpoint target.

Durante gli attacchi, gli hacker hanno tentato di ottenere privilegi elevati creando account admin di dominio e muovendosi lateralmente nella rete. Hanno inoltre impiegato strumenti come Smbexec per lanciare programmi da remoto attraverso il protocollo SMB. Prima di procedere con l’esfiltrazione dei dati e il rilascio dei ransomware Warlock, LockBit e Babuk, il gruppo modificava le Group Policy Objects di Active Directory, disattivava la protezione in tempo reale e manometteva le difese di sistema per eludere la rilevazione.

Collegamenti e caratteristiche operative

Un elemento rilevante di questa campagna è il collegamento diretto tra Storm-2603 e la distribuzione di Babuk, un fatto registrato per la prima volta. Le analisi suggeriscono che il gruppo adotti pratiche di sviluppo strutturate e cicli di aggiornamento rapidi, tipici di team ben organizzati. Altri elementi che fanno pensare a una matrice statale, probabilmente cinese, includono l’adozione di tecniche OPSEC avanzate, la compilazione dei payload in orari sospetti in base al fuso orario cinese e l’uso di domini e informazioni di contatto coerenti tra le varie famiglie ransomware impiegate.

Strategia multi-ransomware e raccomandazioni

La timeline dello sviluppo di Storm-2603 mostra una transizione rapida da LockBit a Warlock e Babuk, con una flessibilità operativa notevole. Il gruppo ha anche sviluppato un framework C2 proprietario (AK47) e dimostrato la capacità di sfruttare exploit zero-day. Secondo gli analisti, questa strategia multi-ransomware serve a confondere l’attribuzione, accelerare l’impatto e aumentare la resilienza delle operazioni malevole.

L’abuso di strumenti legittimi come Velociraptor sottolinea l’importanza di un continuo monitoraggio delle tecnologie di sicurezza utilizzate in azienda e della tempestiva applicazione di patch e aggiornamenti, per ridurre il rischio di compromissione da parte di attori avanzati.