Исследователи кибербезопасности из Sophos Counter Threat Unit (CTU) обнаружили деятельность новой преступной группы, известной под названием GOLD SALEM, которая с марта 2025 года проводит атаки с использованием программы-вымогателя Warlock. Группа, называющая себя Warlock Group, демонстрирует техническую компетентность и следует отработанным сценариям ransomware-атак, одновременно проявляя элементы инновационного подхода.
Описание
По данным на середину сентября 2025 года, группа заявила о компрометации 60 организаций, что ставит её в среднюю категорию по активности среди операторов ransomware. Жертвами становятся как небольшие коммерческие и государственные структуры, так и крупные международные корпорации в Северной и Южной Америке, а также в Европе. Характерно, что группа практически не атакует организации в Китае и России, хотя 8 сентября всё же опубликовала на своей специализированной площадке для утечек (DLS) данные российской компании, предоставляющей услуги и оборудование для энергетической отрасли.
Группа GOLD SALEM не имела публичной активности до июня 2025 года, когда на форуме RAMP появилось сообщение с предложением обмена эксплойтами для корпоративных приложений, таких как Veeam, ESXi и SharePoint, а также инструментами для обхода систем защиты конечных точек (EDR). В последующих сообщениях группа искала сотрудничества с посредниками, предоставляющими первоначальный доступ к сетям жертв.
Исследователи отмечают, что GOLD SALEM использует Tor-сайт для публикации данных жертв. На 16 сентября были опубликованы данные 19 из 60 заявленных жертв. Группа также утверждает, что продала данные 27 организаций частным покупателям, вероятно, из-за неуплаты выкупа. Три имени жертв были впоследствии удалены с сайта.
В ходе расследования инцидентов в конце июля аналитики Sophos зафиксировали использование группой уязвимостей в серверах SharePoint для получения первоначального доступа. Злоумышленники размещали веб-шелл, позволяющий выполнять произвольные команды, а затем развертывали сервер на Golang для поддержания доступа. Для обхода EDR применялась техника Bring Your Own Vulnerable Driver (BYOVD) с использованием уязвимого драйвера Baidu Antivirus.
Корпорация Microsoft, отслеживающая группу под обозначением Storm-2603, с умеренной уверенностью atribутирует её как китайскую, однако исследователи Sophos пока не имеют достаточных доказательств для подтверждения этого. Microsoft также сообщает об использовании GOLD SALEM инструмента Mimikatz для извлечения учетных данных, а также PsExec и Impacket для перемещения по сети.
В августе было зафиксировано злоупотребление легитимным инструментом цифровой криминалистики Velociraptor для создания сетевых туннелей через Visual Studio Code, что в некоторых случаях завершалось развертыванием Warlock.
Индикаторы компрометации
MD5
- b3a099ecca79503a0e4a154bd85d3e6b
- bfbeac96a385b1e5643ec0752b132506
SHA1
- 6d0cc6349a951f0b52394ad3436d1656ec5fba6a
- de25be0afd53a1d274eec02e5303622fc8e7dbd5
SHA256
- 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1
- a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4
