FEHLER!

Cyberkriminelle nutzen Open-Source-Tools: Velociraptor im Fadenkreuz der Angreifer

Die Sicherheitsforschung hat im August 2025 einen neuen erschreckenden Trend aufgedeckt: den Einsatz von etablierten, offenen Werkzeugen wie Velociraptor für kriminelle Zwecke. Dieser Vorfall bezog sich auf eine Kampagne, in der die mit China verbundene Gruppe Storm-2603 Velociraptor missbrauchte, ein Open-Source-Tool, das speziell für digitale Forensik und Incident Response (DFIR) entwickelt wurde. Anstatt Eindringlinge zu verfolgen, wie ursprünglich beabsichtigt, wurde Velociraptor nun zur Verbreitung von Ransomware genutzt. Die Entdeckung erfolgte während der Untersuchung eines umfangreichen Ransomware-Angriffs durch die Forscher von Cisco Talos. Sie identifizierten den Zusammenhang mit Storm-2603, einer Gruppe, die bereits für gezielte Angriffe auf Microsoft SharePoint verantwortlich war.

Die Bedrohungsakteure setzten dabei diverse Ransomware-Varianten ein: Warlock, LockBit und Babuk, um VMware ESXi-virtuelle Maschinen sowie Windows-Server zu verschlüsseln. Diese Attacken richteten erhebliche Schäden in den IT-Umgebungen ihrer Opfer an. Besonders alarmierend an dieser Kampagne war die Ausbeutung einer veralteten Velociraptor-Version (0.73.0). Diese Version enthielt eine Schwachstelle, die von Storm-2603 ausgenutzt wurde, um einen heimlichen und nachhaltigen Zugriff auf infizierte Systeme zu erhalten. Die Angreifer manipulierten infizierte Hosts, um Visual Studio Code herunterzuladen und auszuführen. Dadurch etablierten sie einen Command-and-Control-Server, der selbst nach dem Isolieren der betroffenen Systeme noch funktionierte – ein Beweis für die persistente Bedrohung, die diese Taktik darstellte.

Dieser Vorfall verdeutlicht eine wachsende Gefahr: die Instrumentalisierung legitimer Open-Source-Tools durch Cyberkriminelle. Talos betont in diesem Zusammenhang, dass Organisationen dringend alle Velociraptor-Implementierungen überprüfen und auf Version 0.73.5 oder höher aktualisieren sollten, um die Schwachstelle zu schließen. Dieser Fall mahnt zur erhöhten Aufmerksamkeit für die sichere Nutzung von Open-Source-Software und zur Notwendigkeit, stets aktuelle Versionen einzusetzen, um sich vor solchen Angriffen zu schützen. Die Grenze zwischen hilfreichen Tools und Bedrohungen verschwimmt zunehmend, und Organisationen müssen wachsam bleiben, um ihre Systeme effektiv zu sichern.

Schlagwörter: Storm-2603 + China + DFIR

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 13. Oktober 2025