Zahlreiche Vorfälle zeigen derzeit, wie legitime Forensik- und Admin-Tools als Tarnkappe für Angriffe dienen. Nach Erkenntnissen von Cisco Talos setzen Akteure eine veraltete Velociraptor-Build ein, um Privilegien zu eskalieren und Ransomware in Windows- sowie VMware-ESXi-Umgebungen auszurollen. Velociraptor, ein von Mike Cohen initiiertes und von Rapid7 weiterentwickeltes Open-Source-DFIR-Framework, gerät damit ins Fadenkreuz der “Living-off-the-land”-Taktiken.
Living-off-the-land 2.0: DFIR-Tools als Angriffsvektor
Bereits Sophos dokumentierte Fälle, in denen Unbekannte Velociraptor nutzten, um Visual Studio Code auf kompromittierten Hosts nachzuladen und einen geschützten Management-Tunnel zu etablieren. Das Muster ist klar: Angreifer missbrauchen vertrauenswürdige Werkzeuge, um Erkennungen zu umgehen, administrative Aktionen zu tarnen und Reaktionszeiten zu verlängern. Branchenberichte (u. a. von Verizon DBIR und ENISA) bestätigen, dass Ransomware-Kampagnen zunehmend auf legitime Tools und native Betriebssystem-Funktionen setzen, um ihre Signatur zu verwischen.
Ablauf der Kampagne: Entra ID, vSphere und Velociraptor 0.73.4.0
Laut Cisco Talos legten die Täter zunächst lokale Admin-Konten an, synchronisiert mit Entra ID, und nutzten diese für den Zugriff auf die VMware-vSphere-Konsole, um Persistenz in virtuellen Maschinen zu sichern. Anschließend installierten sie die veraltete Version Velociraptor 0.73.4.0, anfällig für CVE-2025-6264. Diese Schwachstelle erlaubt eine Privilegieneskalation und das Ausführen beliebiger Befehle, wodurch der kompromittierte Host effektiv unter vollständige Kontrolle gerät.
Die Operatoren starteten Velociraptor wiederholt, nutzten es als Steuerknoten am Endpunkt und hielten den Zugriff selbst nach Teil-Isolationen aufrecht. Das Vorgehen reiht sich in etablierte MITRE-ATT&CK-TTPs ein, darunter T1078 (Valid Accounts), T1105 (Ingress Tool Transfer) und T1059.001 (PowerShell).
Verteidigungsumgehung und Verschlüsselung: Windows und VMware ESXi
In Windows-Umgebungen deaktivierten die Angreifer Microsoft Defender in Echtzeit, passten GPO-Richtlinien an und schalteten Verhaltens- sowie Dateischutz ab (T1562.001 – Impair Defenses). Trotz EDR-Alarmen wurde ein Windows-Ransomware-Binary teils als LockBit erkannt; verschlüsselte Dateien trugen jedoch die Endung .xlockxlock, was auf das Warlock-Ökosystem verweist. Auf ESXi-Hosts kam ein Linux-Binary zum Einsatz, das Babuk zugeordnet wurde. Ergänzend beobachteten Analysten einen fileless PowerShell-Ransomware-Loader, der pro Ausführung zufällige AES-Schlüssel generierte und offenbar für breitflächige Datenverschlüsselung in Windows genutzt wurde.
Akteure und Ökosystem: Storm-2603 zwischen LockBit, Warlock und Babuk
Halcyon verortet die Aktivitäten bei der chinesischen Gruppe Storm-2603 (auch CL-CRI-1040 bzw. Gold Salem). Die Gruppe agierte zuvor als LockBit-Partner und wird zugleich mit Warlock in Verbindung gebracht. Diese Hybridisierung von Ransomware-Familien erklärt die Koexistenz mehrerer Verschlüsselungswerkzeuge in einem Incident und unterstreicht die modulare, dienstleiterähnliche Arbeitsteilung im RaaS-Ökosystem.
IOC und Threat Hunting: von MITRE ATT&CK bis SIEM-Korrelation
Cisco Talos veröffentlichte zwei IOC-Sets: Artefakte auf kompromittierten Systemen sowie Velociraptor-spezifische Spuren. Die Integration in SIEM/EDR, angereichert mit TTP-Korrelation (z. B. T1078, T1562.001, T1105, T1059.001), erhöht die Wahrscheinlichkeit, frühe Vorläuferaktivitäten zu identifizieren. Praktikabel sind Jagd-Queries auf unübliche Velociraptor-Binärpfade, wiederholte Client-Starts, GPO-Änderungen an Defender-Richtlinien, ESXi-Management-Events außerhalb von Change-Fenstern sowie PowerShell-Ausführungen ohne begleitende Dateien.
Empfehlungen: So senken Unternehmen das Risiko
– Velociraptor absichern: Auf eine nicht verwundbare aktuelle Version aktualisieren; nur signierte Builds erlauben; Konfigurationen härten und Telemetrie aktivieren.
– Identitäten & Zugriffe: Lokale Admin-Konten minimieren, Entra-ID-Synchronisation überprüfen, MFA erzwingen, Privileged Access Workstations (PAW) nutzen, vSphere-Zugriff rollenbasiert und per Netzwerksegmentierung einschränken.
– Endpoint & GPO: Schutzrichtlinien gegen unautorisierte GPO-Änderungen absichern (Change-Management, Just-in-Time-Administration), Tamper Protection aktivieren, Exploit-Schutz und Application Control (z. B. AppLocker, WDAC) einsetzen.
– PowerShell & LoL: Constrained Language Mode, Script Signing und AMSI-Telemetrie erzwingen; anomale LOLBins- und DFIR-Tool-Nutzung überwachen.
– ESXi-Härtung: Lockdown Mode, Deaktivierung unnötiger Dienste (ESXi Shell/SSH), vCenter-Isolation, regelmäßige Backups und Wiederherstellungstests.
– Detektion & Reaktion: IOC aus den Cisco-Talos-Veröffentlichungen integrieren, MITRE-ATT&CK-Abdeckung prüfen, Playbooks für DFIR-Tool-Missbrauch und Ransomware initialisieren und testen.
Die Fälle belegen, dass Angreifer legitime Admin- und Forensikwerkzeuge als Waffe nutzen, um Sichtbarkeit zu reduzieren und Geschwindigkeit zu gewinnen. Unternehmen sollten Velociraptor und ähnliche Tools proaktiv härten, Identitäten konsequent schützen und TTP-basiertes Threat Hunting etablieren. Quellen wie Cisco Talos, Sophos und Halcyon liefern belastbare Indikatoren und Muster – wer diese zeitnah in SIEM/EDR einbindet, verbessert seine Chancen auf frühe Erkennung und eingedämmte Auswirkungen erheblich.
