В киберпространстве нарастает новая угроза для государственных структур и критической информационной инфраструктуры (КИИ) России. Как стало известно, хакерская группировка, известная под названием Warlock Group, ведёт целенаправленные компьютерные атаки, в ходе которых использует специально созданное вредоносное программное обеспечение типа «шифровальщик» (ransomware). Данное вредоносное ПО, получившее кодовое обозначение «Warlock», способно блокировать доступ к данным путём их шифрования с последующим требованием выкупа.
Описание
По мнению аналитиков, конечной целью злоумышленников является нарушение нормального функционирования важных систем. Основными целями для Warlock Group определены органы государственной власти, а также организации, относящиеся к субъектам КИИ. Следовательно, успешная атака может потенциально привести к серьёзным операционным сбоям и утечке конфиденциальной информации.
Для проникновения в корпоративные сети киберпреступники активно используют ряд недавно выявленных уязвимостей. В частности, они эксплуатируют уязвимости, зарегистрированные в Банке данных уязвимостей (BDU) под следующими идентификаторами: BDU:2025-08714, имеющую критический уровень опасности по шкале CVSS 3.1, а также BDU:2025-08436 и BDU:2025-08787, оценённые как высокоопасные. Кроме того, в арсенале атакующих присутствует уязвимость BDU:2025-08524 среднего уровня риска. Комбинация этих уязвимостей позволяет злоумышленникам получать первоначальный доступ к системам жертв, обходя базовые средства защиты.
Механизм атаки, согласно имеющимся данным, следует классическому сценарию целевой кампании (APT). После первоначального взлома злоумышленники, вероятно, перемещаются по сети в поисках ценных данных и серверов. Затем они развёртывают на целевых машинах свой основной вредоносный модуль (payload) - шифровальщик «Warlock». Для обеспечения устойчивости своего присутствия (persistence) в системе могут применяться различные техники, описанные в матрице MITRE ATT&CK.
Текущая ситуация требует повышенного внимания со стороны служб информационной безопасности. Эксперты рекомендуют в срочном порядке проверить и обновить все программные продукты, для которых выпущены патчи к указанным уязвимостям. Особенно это касается уязвимости BDU:2025-08714, имеющей критический рейтинг. Регулярное обновление систем и приложений остаётся одной из самых эффективных мер профилактики.
Также необходимо усилить мониторинг сетевой активности. Следует обращать внимание на подозрительные события входа в систему, нехарактерное движение трафика и попытки отключения средств защиты. Интеграция данных с систем предотвращения вторжений (IPS) и обнаружения вторжений (IDS) в единую панель управления (dashboard) центра безопасности (SOC) поможет оперативно выявлять инциденты.
Кроме того, важно регулярно проводить обучение сотрудников основам кибергигиены, поскольку некоторые уязвимости могут быть использованы через фишинговые письма. Резервное копирование критически важных данных с последующим хранением копий в изолированной среде является обязательным условием для восстановления после потенциальной атаки шифровальщика без выплаты выкупа.
Появление группировки Warlock Group и её инструментария подтверждает общий тренд на повышение сложности и агрессивности кибератак на государственный сектор. Работа по укреплению обороны должна вестись непрерывно, с учётом современных тактик и техник противника. Своевременное применение базовых принципов безопасности, таких как принцип наименьших привилегий и сегментация сети, значительно усложняет задачу для злоумышленников, даже если им удалось проникнуть в периметр защиты.
Индикаторы компрометации
SHA256
- 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1
- a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4
