Киберпреступники, стоящие за Warlock ransomware, активно используют неисправленные уязвимости Microsoft SharePoint для получения первоначального доступа к корпоративным сетям, последующего перемещения внутри инфраструктуры и развёртывания шифровальщика. Атака демонстрирует многоступенчатый подход, сочетающий эксплуатацию публичных сервисов, кражу учётных данных, использование встроенных инструментов Windows и скрытую эксфильтрацию данных.
Описание
Атака начинается с эксплуатации уязвимостей в интернет-обращённых SharePoint-серверах, что позволяет злоумышленникам загрузить веб-шелл и получить выполнение кода. После этого происходит повышение привилегий за счёт модификации групповых политик и манипуляций с учётными записями, такими как активация встроенной учётной записи "guest" и добавление её в группу локальных администраторов.
На этапе выполнения применяются командные оболочки и пакетные файлы для копирования и запуска вредоносных исполняемых файлов, включая инструменты для прекращения работы процессов, связанных с системами безопасности. Warlock также использует инструменты для сбора информации о системе, доменных доверительных отношениях и установленном программном обеспечении.
Особое внимание в атаке уделено доступу к учётным данным: злоумышленники применяют Mimikatz для извлечения паролей из памяти, а также дампят реестровые кусты SAM и SECURITY. Латеральное перемещение осуществляется через административные ресурсы SMB, копирование полезных нагрузок на удалённые системы и настройку RDP-доступа.
Финальная стадия атаки включает развёртывание ransomware, который шифрует файлы с расширением .x2anylock. По данным исследователей, Warlock является модифицированной версией шифровальщика LockBit 3.0. Кроме того, осуществляется эксфильтрация данных с помощью утилиты RClone, замаскированной под легитимный процесс TrendSecurity.exe и настроенной для передачи файлов в облачное хранилище Proton Drive.
Группировка активно действует с середины 2025 года и нацелена на организации по всему миру, включая государственный сектор, финансовые услуги и критическую инфраструктуру. Атака подчёркивает важность своевременного применения обновлений безопасности, использования многоуровневой защиты и постоянного мониторинга активности в корпоративных сетях.
Индикаторы компрометации
SHA1
- 0488509b4dbc16dcb6d5f531e3c8b9a59b69e522
- 0bbbf2a9d49152ac6ad755167ccb0f2b4f00b976
- 8b13118b378293b9dc891b57121113d0aea3ac8a
- cf0da7f6450f09c8958e253bd606b83aa80558f2
