За полгода неизвестные хакеры ворвались в Топ-20 самых опасных киберпреступников мира.
Группа Warlock, также известная как Storm-2603 и GOLD SALEM, за считанные месяцы превратилась из новичка в заметного игрока на рынке атак. Исследователи Sophos , что активность этой группировки началась в марте 2025 года, а к сентябрю она уже обзавелась собственным порталом утечек «Warlock Client Data Leak Show», где числится около 60 жертв. При этом атакующие действуют по всему миру — от небольших государственных структур и коммерческих компаний до транснациональных корпораций в Северной и Южной Америке и Европе.
Особое внимание к Warlock привлекли августовские инциденты: преступники похвастались компрометацией французской Orange и британской Colt. В последнем случае они заявили о похищении миллиона документов и даже объявили аукцион на продажу архива.
Позже на том же ресурсе в числе жертв появилось международное авиасообщество Star Alliance, при этом никаких официальных подтверждений от организации не последовало, а сама запись сопровождалась пометкой о продаже украденного комплекта данных. При этом Warlock в отличие от других не публикует даты атак и редко показывает примеры похищенных материалов, ограничиваясь лаконичными пометками о статусе выкупа или ссылкой на архив.
Стиль ведения переговоров у Warlock демонстративно жёсткий: на своём сайте они обвиняют организации в безответственности и обещают публикацию данных в случае отказа от контакта. В то же время для крупных корпораций с критически чувствительной информацией они заявляют, что полный массив похищенного не будет выложен публично. Такой подход позволяет группировке одновременно давить на репутацию жертвы и поддерживать интерес покупателей на чёрном рынке.
Отдельное внимание в отчёте Sophos уделяется технике атак. Первое публичное появление Warlock состоялось в июне на одном из хакерских форумов, где представитель группировки искал эксплойты для корпоративных приложений вроде Veeam, ESXi и SharePoint, а также инструменты обхода EDR-систем. Уже в июле Microsoft зафиксировала применение этой группой свежей нулевого дня в локальных серверах SharePoint.
Первоначально эксплойт задействовала китайская группировка Salt Typhoon 18 июля, но из-за проблемного обновления уязвимыми остались десятки тысяч систем, включая правительственные серверы. Warlock воспользовались ситуацией и внедрили собственную цепочку ToolShell для установки веб-шеллов и закрепления в сети через самописный Golang-сервер на базе WebSockets.
Кроме этого, злоумышленники активно комбинируют проверенные временем методы: используют Mimikatz для кражи учётных данных, PsExec и Impacket для горизонтального перемещения, а через групповые политики распространяют шифровальщик по сети. Для скрытого трафика они задействуют легитимные инструменты, в частности Velociraptor. Такой набор делает их атаки гибкими и сложными для обнаружения. Sophos отмечает, что подобная смесь стандартных приёмов и точечных новшеств показывает хорошую подготовку и смелость исполнителей.
За короткое время Warlock попали в список двадцати самых активных вымогательских операций за последний год. По оценке специалистов, дальнейшее усиление давления на инфраструктуру компаний маловероятно остановится без агрессивных мер со стороны обороняющихся.
Для снижения рисков специалисты советуют организациям уделять повышенное внимание мониторингу атакующей поверхности, своевременно устанавливать исправления для публичных сервисов, а также поддерживать готовность к быстрому реагированию на инциденты. Sophos подчёркивает: знание тактики Warlock необходимо, чтобы укрепить защиту до того, как группировка выберет новую цель.
Подробнее:
Группа Warlock, также известная как Storm-2603 и GOLD SALEM, за считанные месяцы превратилась из новичка в заметного игрока на рынке атак. Исследователи Sophos , что активность этой группировки началась в марте 2025 года, а к сентябрю она уже обзавелась собственным порталом утечек «Warlock Client Data Leak Show», где числится около 60 жертв. При этом атакующие действуют по всему миру — от небольших государственных структур и коммерческих компаний до транснациональных корпораций в Северной и Южной Америке и Европе.
Особое внимание к Warlock привлекли августовские инциденты: преступники похвастались компрометацией французской Orange и британской Colt. В последнем случае они заявили о похищении миллиона документов и даже объявили аукцион на продажу архива.
Позже на том же ресурсе в числе жертв появилось международное авиасообщество Star Alliance, при этом никаких официальных подтверждений от организации не последовало, а сама запись сопровождалась пометкой о продаже украденного комплекта данных. При этом Warlock в отличие от других не публикует даты атак и редко показывает примеры похищенных материалов, ограничиваясь лаконичными пометками о статусе выкупа или ссылкой на архив.
Стиль ведения переговоров у Warlock демонстративно жёсткий: на своём сайте они обвиняют организации в безответственности и обещают публикацию данных в случае отказа от контакта. В то же время для крупных корпораций с критически чувствительной информацией они заявляют, что полный массив похищенного не будет выложен публично. Такой подход позволяет группировке одновременно давить на репутацию жертвы и поддерживать интерес покупателей на чёрном рынке.
Отдельное внимание в отчёте Sophos уделяется технике атак. Первое публичное появление Warlock состоялось в июне на одном из хакерских форумов, где представитель группировки искал эксплойты для корпоративных приложений вроде Veeam, ESXi и SharePoint, а также инструменты обхода EDR-систем. Уже в июле Microsoft зафиксировала применение этой группой свежей нулевого дня в локальных серверах SharePoint.
Первоначально эксплойт задействовала китайская группировка Salt Typhoon 18 июля, но из-за проблемного обновления уязвимыми остались десятки тысяч систем, включая правительственные серверы. Warlock воспользовались ситуацией и внедрили собственную цепочку ToolShell для установки веб-шеллов и закрепления в сети через самописный Golang-сервер на базе WebSockets.
Кроме этого, злоумышленники активно комбинируют проверенные временем методы: используют Mimikatz для кражи учётных данных, PsExec и Impacket для горизонтального перемещения, а через групповые политики распространяют шифровальщик по сети. Для скрытого трафика они задействуют легитимные инструменты, в частности Velociraptor. Такой набор делает их атаки гибкими и сложными для обнаружения. Sophos отмечает, что подобная смесь стандартных приёмов и точечных новшеств показывает хорошую подготовку и смелость исполнителей.
За короткое время Warlock попали в список двадцати самых активных вымогательских операций за последний год. По оценке специалистов, дальнейшее усиление давления на инфраструктуру компаний маловероятно остановится без агрессивных мер со стороны обороняющихся.
Для снижения рисков специалисты советуют организациям уделять повышенное внимание мониторингу атакующей поверхности, своевременно устанавливать исправления для публичных сервисов, а также поддерживать готовность к быстрому реагированию на инциденты. Sophos подчёркивает: знание тактики Warlock необходимо, чтобы укрепить защиту до того, как группировка выберет новую цель.
Подробнее:
