В июне 2025 года на свет вышел новый игрок в экосистеме вымогателей — Warlock ransomware. По данным расследований, его появление следовало за серией атак, направленных на Microsoft SharePoint, в частности по уязвимости CVE-2025-53770. Инцидент оказался частью более масштабной кампании ToolShell, в которой задействованы несколько китайских акторов — Budworm (APT27), Sheathminer (APT31) и Storm-2603.
Хронология и масштаб атак
Ключевые факты:
- Появление Warlock ransomware зафиксировано в июне 2025 года.
- Атаки проводились с использованием эксплойтов против Microsoft SharePoint, включая CVE-2025-53770, до выпуска патчей — то есть использовалась zero-day уязвимость.
- В рамках кампании ToolShell несколько акторов эксплуатировали одну и ту же уязвимость; среди них Storm-2603 задействовал как Warlock ransomware, так и полезную нагрузку LockBit.
Технологии и признаки родства с предыдущими инструментами
Аналитики отмечают, что Warlock можно рассматривать как ребрендинг более ранней программы-вымогателя Anylock, при этом поведение и арсенал акторов указывают на непрерывную вредоносную активность, прослеживаемую с 2019 года. Расследования, проведенные Symantec и Carbon Black, выявили ряд технических особенностей:
- использование сложного инструмента обхода защиты (defense‑evasion);
- аутентификация этого инструмента с помощью украденного цифрового сертификата, связанного с организацией coolschool;
- совместное развёртывание как шпионских модулей, так и модулей-шифровальщиков.
Мотивация и тактика: шпионаж под прикрытием вымогательства
Исходя из собранных данных, операторы демонстрируют двойственную модель деятельности: они способны вести шпионские операции и одновременно выполнять коммерческие схемы вымогательства. Такой подход позволяет им скрывать первичные цели разведывательного характера за шумом ransomware-операций, усложняя обнаружение и реагирование.
«Акторы, стоящие за Warlock, были искусны в смешивании шпионажа с операциями с использованием программ‑вымогателей» — выводы расследований Symantec и Carbon Black.
Выводы и последствия
Эволюция инструментария и тактическая гибкость групп, связанных с ToolShell, свидетельствуют о повышенном уровне профессионализма и адаптивности. Они способны действовать как поставщики услуг по сбору разведданных, так и исполнители коммерческих кампаний вымогательства. Такой двойственный характер деятельности усиливает сложность противодействия современным киберугрозам: атаки перестают быть однозначно криминальными или государственно‑мотивированными и часто представляют собой гибриды, сочетающие оба элемента.
Организациям и специалистам по кибербезопасности следует учитывать сочетание эксплойтов zero‑day, использования легитимных цифровых сертификатов и смешанных цепочек разноцелевых нагрузок при подготовке сценариев обнаружения и реагирования. Контекст ToolShell и случаи с Warlock демонстрируют, что современные угрозы требуют междисциплинарного подхода и постоянного обмена информацией между исследователями и операторами защитных команд.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Warlock ransomware и CVE-2025-53770: китайский ребрендинг Anylock".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
