СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.10.2025
#ИБ#Инфра

Warlock ransomware: Storm-2603 атакует SharePoint через RCE ToolShell

Warlock ransomware: Storm-2603 атакует SharePoint через RCE ToolShell

Специалисты зафиксировали масштабную кампанию распространения программы-вымогателя Warlock, которая целенаправленно эксплуатирует уязвимость удаленного выполнения кода (RCE) ToolShell в экземплярах SharePoint, доступных из интернета. В атаках задействованы хакерские группы типа Storm-2603, которые не только инициируют компрометацию внешне доступных серверов, но и перемещаются по сети для дальнейшего развертывания вредоносного ПО.

«Warlock активно внедряется на серверах SharePoint и распространяется по сети, используя GPO для установки, после чего реализует многоступенчатую стратегию обхода средств защиты и уничтожения следов».

Как происходит атака

По данным анализа, цепочка действий злоумышленников и поведение Warlock выглядят следующим образом:

  • Эксплуатация RCE-уязвимости ToolShell в интернет-доступных экземплярах SharePoint.
  • Раскатка вредоносного ПО по сети — часто с помощью объектов групповой политики (GPO).
  • Запуск Warlock на целевой машине и последовательное применение скрытых техник для обхода детекции и обеспечения максимального вреда.

Поведение и техники уклонения

Warlock использует целый набор механизмов для незаметной работы и повышения эффективности шифрования:

  • Отключение окна консоли сразу после запуска, чтобы скрыть активность от локального пользователя.
  • Проверка имени хоста: имя компьютера сравнивается с жестко закодированным белым списком хостов. При совпадении выполнение прекращается; если имя получить не удалось — проверка пропускается.
  • Изменение приоритета завершения работы системы для задержки ее выключения и успешного завершения операций шифрования.
  • Автоматическая очистка корзины для удаления следов атакуемых файлов.
  • Определение всех NTFS-томов в системе и назначение несопоставленных томов для обеспечения охвата при шифровании.
  • Отключение сервисов резервного копирования и security software, что эффективно нейтрализует средства защиты и сохранения данных.
  • Проверка окружения на наличие WOW64 и временное отключение перенаправления файловой системы для доступа к системным каталогам.
  • Удаление всех моментальных снимков Shadow Copy (VSS) с использованием COM-интерфейсов — подход, менее заметный, чем вызовы командной строки.
  • Оценка числа локальных процессоров для оптимизации количества рабочих потоков, отвечающих за шифрование.

Механизм шифрования

Warlock рекурсивно сканирует файловую систему с корня каждого целевого тома, формируя пакеты файлов на основе предопределенных списков исключений (то есть типов файлов и путей, которые не подлежат шифрованию). Алгоритм работы с файлами описан так:

  • Рекурсивный обход директорий и формирование пакетных задач шифрования.
  • Переименование каждого зашифрованного файла с добавлением расширения .x2anylock к исходному имени.
  • Если файл заблокирован на этапе переименования, Warlock принудительно завершает процесс, в котором открыт данный файл.
  • После обработки пакета файлов рабочие потоки останавливаются, и вредоносное приложение завершает собственный процесс.

Последствия для жертв

В результате атаки жертвы остаются с зашифрованными данными и требованием выкупа. Удаление VSS-снапшотов, отключение резервного ПО и targeted-удаление сервисов безопасности существенно усложняют восстановление данных из локальных резервных копий.

Выводы

Анализ Warlock демонстрирует высокую степень продуманности и адаптивности современных программ-вымогателей: злоумышленники используют уязвимости в инфраструктуре SharePoint для первоначального проникновения, а затем применяют проверенные техники распространения (GPO), маскировки и уничтожения следов (отключение консоли, удаление VSS через COM, сведение к минимуму видимости операций). Такое сочетание делает угрозу особенно опасной для организаций с интернет-экспонированными серверами и недостаточно защищенными политиками управления и резервного копирования.

Ключевая мысль: если ваша организация экспонирует SharePoint в интернет, крайне важно проверить наличие исправлений для уязвимости ToolShell, пересмотреть настройки GPO и механизмы резервного копирования, а также усилить обнаружение аномалий в поведении сервисов и процессов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: