L'universo della cybersicurezza si trova di fronte a un nuovo inquietante sviluppo: i criminali informatici hanno iniziato a utilizzare strumenti legittimi di sicurezza come armi contro le stesse organizzazioni che dovrebbero proteggere. Il gruppo ransomware Storm-2603, già noto per aver sfruttato vulnerabilità zero-day di Microsoft SharePoint durante l'estate, ha dimostrato una preoccupante evoluzione nelle proprie tattiche offensive. La banda criminale ha infatti integrato nel proprio arsenale Velociraptor, un'applicazione open-source di digital forensics e incident response mai prima d'ora associata ad attacchi ransomware.
Quando la difesa diventa attacco
Velociraptor rappresenta normalmente uno strumento prezioso per i professionisti della sicurezza informatica. Questo software legittimo viene utilizzato dai difensori delle reti per la caccia alle minacce e la risposta agli incidenti, attraverso agenti distribuiti su endpoint Windows, Linux e macOS che raccolgono continuamente dati e monitorano attività sospette. Tuttavia, seguendo il destino di molti altri prodotti open-source e commerciali, anche Velociraptor è stato riproposto dai criminali per scopi malevoli.
Il vantaggio per gli attaccanti è evidente: trattandosi di un prodotto legittimo e non di malware, risulta significativamente più difficile da rilevare e bloccare attraverso antivirus o strumenti di sicurezza tradizionali. Nel caso specifico documentato da Cisco Talos, Velociraptor ha giocato un ruolo fondamentale nell'attacco condotto ad agosto.
L'anatomia di un attacco multistrato
L'incidente analizzato dal team di incident response di Cisco Talos rivela la sofisticatezza crescente delle operazioni di Storm-2603. I criminali hanno implementato una strategia di triple-encryption, utilizzando simultaneamente tre diverse varianti di ransomware: Warlock, LockBit e Babuk per crittografare macchine virtuali VMware ESXi e server Windows. Questa tattica, definita dai ricercatori come altamente inusuale, rappresenta ormai un marchio di fabbrica del gruppo.
Gli attaccanti hanno installato una versione obsoleta di Velociraptor (0.73.4.0) esposta a una vulnerabilità di escalation dei privilegi (CVE-2025-6264) che può portare all'esecuzione arbitraria di comandi e al controllo completo degli endpoint. Questa scelta deliberata ha permesso loro di rimanere nascosti, sfruttare la falla di sicurezza e distribuire i payload ransomware.
Le connessioni con la Cina
Storm-2603 rappresenta un gruppo relativamente nuovo, emerso per la prima volta a luglio quando Microsoft ha scoperto i criminali nell'atto di abusare server SharePoint vulnerabili per distribuire ransomware. All'epoca, la casa di Redmond aveva ipotizzato un'origine cinese del gruppo, pur non classificandolo necessariamente come sponsorizzato dallo stato. Tuttavia, un rapporto separato pubblicato questo mese dalla società anti-ransomware Halcyon suggerisce che Storm-2603 abbia "alcuni legami con attori nation-state cinesi" e sia lo stesso gruppo tracciato anche come Warlock, CL-CRI-1040 e affiliato LockBit.
La strategia della doppia estorsione
L'operazione ha seguito il collaudato schema della double-extortion. Prima di procedere alla crittografia, i criminali hanno utilizzato uno script PowerShell per esfiltrarsi i dati, configurando il parametro "$ProgressPreference" su "SilentlyContinue" per sopprimere qualsiasi indicazione visiva del progresso del comando ed evadere così i sistemi di rilevamento.
Dopo aver installato Velociraptor su più server per mantenere la persistenza, gli attaccanti hanno eseguito Smbexec, uno script Python incluso in Impacket che permette di lanciare programmi da remoto utilizzando il protocollo SMB. Hanno inoltre modificato l'Active Directory, disattivando la protezione in tempo reale e le capacità di monitoraggio comportamentale e dei file.
Raccomandazioni difensive
Per evitare di diventare la prossima vittima di Storm-2603, le organizzazioni devono prioritariamente assicurarsi di aver applicato le patch per le vulnerabilità SharePoint, poiché il gruppo ransomware sembra continuare a sfruttare questi punti deboli per l'accesso iniziale. Rapid7, che mantiene Velociraptor, ha pubblicato raccomandazioni specifiche su come rilevare l'uso improprio dello strumento. La crescente tendenza dei criminali informatici a weaponizzare strumenti legittimi richiede un approccio più sofisticato alla detection, che vada oltre il semplice riconoscimento di malware noti per includere il monitoraggio comportamentale di applicazioni apparentemente innocue.