勒索集團WarLock攻擊次數激增 躋身全球前20大勒索攻擊者
勒索軟體集團WarLock曾於7月被指與Microsoft SharePoint零日漏洞攻擊有關,現已由英國網路安全公司Sophos研究團隊以代號GOLDSALEM追蹤。而Sophos日前提出警告,該集團近期攻擊行動急速升溫,展現出結合傳統手法與新技術的模式。
根據《Cybernews》報導,WarLock也被Microsoft內部標記為Storm2603,早在今年3月就已展開勒索行動。Sophos最新情報指出,僅在9月,WarLock就在其暗網平台「WarLockClientDataLeakShow」聲稱已有60名受害者,攻擊範圍橫跨北美、歐洲與南美洲,對象涵蓋中小企業、政府機構與跨國公司。
今年8月,WarLock對兩家電信巨頭發動攻擊,包括法國數位服務供應商Orange與英國總部的Colt。該集團聲稱自Colt竊取多達100萬份文件,並在洩漏網站標註「拍賣進行中」。
同一時期,全球航空聯盟「星空聯盟」(StarAlliance)也被點名為受害者,貼文甚至宣稱「數據已被其他買家購得」,但該公司尚未公開證實。
與其他勒索集團不同,WarLock公布的受害者資訊極為有限,貼文通常不列出攻擊日期或樣本檔案,只標註資料狀態為「已發布」或「出售」,有時附上下載連結。該組織還強調,若受害者拒絕支付贖金,數據將被公開,並聲稱「不負責任的公司」應自行承擔後果。
Sophos調查顯示,WarLock在6月前幾乎未有公開活動,直到俄羅斯地下論壇Ramp出現徵求漏洞的貼文,內容涉及Veeam、ESXi、SharePoint等常用應用程式,以及干擾端點偵測與回應(EDR)的工具。
7月下旬,Microsoft證實觀察到中國國家支持的攻擊者利用SharePoint零日漏洞部署WarLock勒索軟體,全球數千家企業遭到影響。該漏洞最早於7月18日被中國駭客組織SaltTyphoon利用,當時約有100家機構遭鎖定;由於修補程式未能及時發布,額外超過1萬台伺服器面臨風險,其中不乏政府單位。
Sophos指出,WarLock展現高度熟練的攻擊手法,包括利用SharePoint漏洞結合自製ToolShell鏈,安裝基於Golang的WebSockets伺服器維持滲透,同時濫用合法工具Velociraptor建立隱蔽通道。
研究人員還發現,該集團使用Mimikatz竊取憑證,並透過PsExec與Impacket在網路中橫向移動,最後利用GPO大規模推送勒索軟體載荷。
資安專家提醒,各機構必須強化攻擊面監控,建立嚴格的外部服務修補政策,並確保具備即時事件回應能力。Sophos已將WarLock列為過去12個月內最活躍的前20名勒索集團之一,並強調深入了解其運作方式,對企業提升防禦至關重要。