É uma ironia digna do mundo cibernético moderno: uma ferramenta criada para defender redes corporativas e ajudar especialistas em segurança a investigar incidentes digitais está agora sendo usada para lançar ataques devastadores de ransomware. O alvo dessa contradição é o Velociraptor, uma ferramenta de código aberto originalmente desenvolvida para análise forense e resposta a incidentes (DFIR), que vem sendo explorada por hackers para invadir e criptografar sistemas inteiros.
Relatórios recentes apontam que o grupo de ameaças Storm-2603, também conhecido como Warlock, encontrou uma maneira sofisticada de abusar do Velociraptor para implantar não apenas seu próprio ransomware, mas também variantes do LockBit e do Babuk, duas das famílias de malware mais destrutivas da última década.
Esse caso ilustra uma tendência crescente e preocupante no cenário de cibersegurança: o uso de ferramentas legítimas como armas, uma tática conhecida como Living off the Land (LotL). Essa estratégia torna a detecção de ataques muito mais difícil, já que softwares de segurança muitas vezes consideram essas ferramentas confiáveis por natureza.
Neste artigo, vamos analisar como o ransomware Velociraptor está sendo explorado, entender as táticas do grupo Warlock, e discutir o que profissionais de TI podem fazer para se proteger quando até mesmo as ferramentas de defesa passam a trabalhar contra eles.
O que é o Velociraptor e por que ele é uma ferramenta poderosa?
O Velociraptor é uma ferramenta de código aberto voltada para resposta a incidentes, coleta de evidências e análise forense digital. Criada originalmente por engenheiros de segurança da Google, ela se tornou um recurso popular entre equipes de DFIR e Blue Teams em todo o mundo.
Em seu uso legítimo, o Velociraptor permite que administradores coletem artefatos de endpoints em larga escala, monitorem atividades suspeitas e respondam rapidamente a incidentes. Sua arquitetura distribuída possibilita investigações centralizadas em centenas de máquinas, o que o torna um instrumento valioso em grandes corporações.
Entretanto, o que o torna tão eficaz para os defensores — capacidade de orquestração, execução remota de consultas e coleta sigilosa de dados — também o torna extremamente perigoso quando cai nas mãos erradas. Hackers perceberam que poderiam usar o mesmo mecanismo de controle remoto para fins maliciosos, transformando o caçador em caça.
Anatomia do ataque: como o Storm-2603 transformou o caçador em caça
A porta de entrada: a falha no SharePoint
A invasão começou com a exploração de vulnerabilidades conhecidas no Microsoft SharePoint, especialmente relacionadas à ferramenta ToolShell, um componente usado para automação e execução de scripts. O grupo Storm-2603 (Warlock) utilizou uma exploração remota para ganhar acesso inicial a servidores corporativos expostos à internet.
Essa abordagem é comum entre grupos avançados: em vez de depender de e-mails de phishing, eles exploram falhas em sistemas amplamente implantados, aproveitando-se de servidores mal atualizados e sem correções aplicadas.
Abusando de uma versão vulnerável do Velociraptor
Uma vez dentro da rede, os invasores implantaram uma versão antiga e vulnerável do Velociraptor, suscetível à CVE-2025-6264, uma falha de escalonamento de privilégios que permite ao atacante obter controle administrativo total do sistema.
A partir daí, o grupo instalou o Velociraptor como serviço, configurando-o para se comunicar com um servidor de comando e controle (C2) personalizado. Essa versão maliciosa era praticamente idêntica à legítima, dificultando sua identificação por antivírus ou EDRs.
Em resumo, os atacantes usaram o Velociraptor para fazer exatamente o que os defensores fazem: coletar informações detalhadas sobre o ambiente, mapear endpoints e orquestrar comandos de forma centralizada — mas com objetivos diametralmente opostos.
Movimentação lateral e desativação de defesas
Após obter privilégios elevados, os hackers avançaram na rede. Eles criaram novas contas de administrador, usaram ferramentas como Smbexec para movimentação lateral e modificaram Objetos de Política de Grupo (GPOs) para garantir persistência e desativar proteções em tempo real.
Essas ações impediram que soluções de segurança detectassem comportamentos anômalos, abrindo caminho para a fase final: a implantação do ransomware. O grupo distribuiu cargas maliciosas de LockBit e Babuk, criptografando servidores e exigindo resgates altos em criptomoedas.
As conexões sombrias: Warlock, LockBit e suspeitas de apoio estatal
O grupo Warlock, identificado pela Microsoft como Storm-2603, é conhecido por operar em múltiplas frentes de ransomware, utilizando diferentes famílias para dificultar a atribuição e confundir analistas de ameaças.
Relatórios recentes sugerem que o Warlock já havia trabalhado com LockBit e Babuk, além de desenvolver seu próprio ransomware personalizado. Essa flexibilidade indica uma estrutura semelhante a operações afiliadas (RaaS – Ransomware as a Service), nas quais diferentes grupos colaboram ou compartilham infraestrutura de ataque.
O que mais chama atenção, porém, é o nível de sofisticação observado. Pesquisadores da Cisco Talos e da Sophos notaram práticas de OPSEC avançadas, uso de exploits inéditos e acesso antecipado a falhas zero-day, levantando suspeitas de apoio estatal, possivelmente vinculado a grupos chineses.
Embora não haja provas conclusivas, a rapidez com que o Warlock incorporou o Velociraptor em suas operações e o uso de táticas de evasão de detecção em múltiplas camadas reforçam a hipótese de que se trata de um grupo com recursos e expertise acima da média.
Como se defender quando ferramentas legítimas se tornam armas
O caso do ransomware Velociraptor evidencia um problema crescente: a fronteira entre ferramentas de defesa e de ataque está cada vez mais tênue. Proteger uma rede não é apenas bloquear o que é “ruim”, mas também entender e controlar o uso do que é “bom”.
A importância crítica das atualizações
O primeiro passo é básico, mas ainda negligenciado: manter sistemas e ferramentas sempre atualizados. A falha CVE-2025-6264 foi explorada justamente porque muitos administradores ainda utilizavam versões antigas do Velociraptor.
O mesmo vale para softwares de servidor como o SharePoint — corrigir vulnerabilidades conhecidas é a barreira mais eficaz contra grupos como o Warlock.
Monitoramento e detecção de anomalias
Equipes de segurança devem monitorar constantemente o uso de ferramentas administrativas e forenses. Se o Velociraptor aparecer em uma máquina onde não deveria estar, isso é um sinal de comprometimento.
Soluções de EDR/XDR com detecção comportamental podem identificar padrões suspeitos, como a execução de comandos fora de contexto ou a criação de conexões de rede não autorizadas.
Gestão de privilégios e políticas de grupo
Seguir o princípio do menor privilégio é essencial. Contas administrativas devem ser limitadas e auditadas. Além disso, alterações em GPOs precisam ser registradas e verificadas regularmente, já que foram alvo direto neste ataque.
Implementar controle de aplicações (AppLocker) e bloqueio de execução de binários desconhecidos pode impedir que versões adulteradas do Velociraptor sejam executadas sem autorização.
Conclusão: a linha tênue entre defesa e ataque
O caso do Velociraptor demonstra de forma contundente que a segurança digital não é apenas uma questão de ter as ferramentas certas, mas de saber quem as está usando e para quê. O mesmo código que ajuda analistas a conter ameaças pode ser manipulado por atacantes para espalhá-las.
Em um cenário em que ransomwares evoluem constantemente, e em que grupos como o Warlock aprendem a abusar até mesmo de ferramentas legítimas, a vigilância deve ser constante.
Profissionais de segurança precisam revisar seu inventário de software, aplicar políticas de monitoramento e entender o comportamento normal de suas redes.
Afinal, a pergunta que todos deveriam se fazer é: você sabe quais ferramentas administrativas estão rodando em sua rede agora — e quem as está usando?
