El grupo de ransomware Rhysida aprovecha la publicidad maliciosa en motores de búsqueda y los instaladores falsos con firma de código para distribuir OysterLoader, una puerta trasera C++ de múltiples etapas. Utiliza técnicas avanzadas de evasión para establecer su persistencia, entregando cargas útiles de alto impacto, como ransomware o infostealers, a las empresas.

Estamos siendo testigos de una importante evolución en las tácticas de los adversarios: los actores maliciosos están aprovechando activamente herramientas legítimas y de código abierto para la respuesta a incidentes, como Velociraptor, con fines maliciosos, adoptando de manera efectiva un «patrón de uso indebido» en lugar de depender únicamente de malware personalizado. Esta táctica en evolución pone de relieve la necesidad de estar alerta en la supervisión y detección del uso no autorizado de Velociraptor para interceptar y mitigar eficazmente el uso indebido antes de que dé lugar a un mayor compromiso o al despliegue de ransomware.