Warlock ransomware kampány
A Trend Micro elemzés szerint a Warlock ransomware kampány egy fejlett, több lépcsős támadási láncot alkalmaz, amely a klasszikus zsarolóvírus-műveleteket modern post-exploitation technikákkal kombinálja. A kezdeti hozzáférést jellemzően nem frissített, internet felé nyitott Microsoft SharePoint szerverek kihasználásával szerzik meg, majd web shellt telepítenek a tartós bejutás érdekében.
A támadók ezt követően hosszabb ideig rejtve maradnak a hálózatban, miközben felderítést és laterális mozgást hajtanak végre. Ehhez olyan eszközöket használnak, mint a TightVNC-t távoli hozzáférésre, illetve Yuze nevű proxy eszközt, amely SOCKS5 alagutakon keresztül segíti a rejtett kommunikációt és a hálózaton belüli terjedést.
A kampány egyik legfontosabb eleme a védelem megkerülése. A Warlock egy BYOVD – Bring Your Own Vulnerable Driver – technikát alkalmaz, amely során sérülékeny kernel-drivereket használ fel ahz EDR és antivírus megoldások leállítására kernel szinten. Ez jelentősen növeli a támadás észlelésének nehézségét.
A C2 kommunikáció több csatornán történik, például Cloudflare tunnel, VS Code tunnel és Velociraptor eszközök segítségével, ami erősen obfuszkált, legitimnek tűnő forgalmat eredményez. Ez a living-off-the-land + legitim eszközök modell kifejezetten megnehezíti a hálózati detekciót.
A végső fázisban a támadók adatokat exfiltrálnak, majd ransomware payloadot telepítenek, gyakran LockBit-alapú variánst. A célpontok főként technológiai, gyártó és kormányzati szervezetek, ami jól mutatja a magas értékű, stratégiai célpontokra való fókuszt.
