Bij verschillende ransomware-aanvallen hebben aanvallers gebruikgemaakt van Velociraptor, een open source tool voor digital forensics en incident response (DFIR). Dit heeft technologiebedrijf Cisco bekendgemaakt. Velociraptor is oorspronkelijk ontworpen om teams te helpen bij het onderzoeken en analyseren van cyberbeveiligingsincidenten, maar blijkt nu ook te worden ingezet door cybercriminelen om hun sporen te verbergen en slachtoffers te controleren.

Cisco's beveiligingsonderzoekers ontdekten dat de aanvallers Velociraptor op ongeoorloofde wijze misbruikten tijdens hun aanvallen. De tool werd gebruikt om inzicht te krijgen in systemen van slachtoffers en om laterale bewegingen binnen netwerken mogelijk te maken. Hierdoor konden de aanvallers zich diep in het netwerk nestelen en gevoelige informatie bemachtigen voordat ze de ransomware activeerden.

Velociraptor is een krachtige tool omdat het uitgebreide zichtbaarheid biedt in endpoints en netwerkactiviteiten. Het platform stelt securityteams in staat complexe query's uit te voeren op endpoints en snel forensisch onderzoek te doen, wat essentieel is bij het opsporen en beperken van bedreigingen. Dat cybercriminelen deze tool weten te misbruiken, onderstreept de voortdurende uitdaging om beveiligingsmiddelen tegen kwaadwillenden te beschermen.

Cisco adviseert organisaties alert te zijn op het gebruik van Velociraptor binnen hun netwerken, zeker als zij die tool niet zelf hebben geïmplementeerd. Onverwacht gebruik van DFIR-tools kan een indicator zijn van een inbraak. Het bedrijf raadt ook aan te monitoren op verdachte activiteiten en ongewone configuraties die mogelijk wijzen op misbruik door aanvallers. Bovendien is het belangrijk om rigoureuze toegangscontroles en netwerksegmentatie toe te passen om de impact van een dergelijke aanval te beperken.

De melding van Cisco benadrukt dat technieken en tools bedoeld voor verdediging en onderzoek door kwaadwillenden worden omgedraaid in hun voordeel. Dit fenomeen, ook wel ‘dual use’ genoemd, vormt een complex beveiligingsprobleem. Organisaties moeten daarom niet alleen investeren in adequate detectie- en responssystemen, maar ook in bewustwording en het updaten van hun verdedigingsstrategieën om nieuwe bedreigingsmethoden het hoofd te bieden.