23/09/25
Группа Warlock, также известная как Storm-2603 и GOLD SALEM, за считанные месяцы превратилась из новичка в заметного игрока на рынке вымогательских атак. Исследователи Sophos сообщают, что работа этой группировки началась в марте 2025 года, а к сентябрю она уже обзавелась собственным порталом утечек «Warlock Client Data Leak Show», где числится около 60 жертв. При этом атакующие действуют по всему миру — от небольших государственных структур и коммерческих компаний до транснациональных корпораций в Северной и Южной Америке и Европе.
Особое внимание к Warlock привлекли августовские инциденты: преступники похвастались компрометацией французской Orange и британской Colt. В последнем случае они заявили о похищении миллиона документов и даже объявили аукцион на продажу архива.
Позже на том же ресурсе в числе жертв появилось международное авиасообщество Star Alliance, при этом никаких официальных подтверждений от организации не последовало, а сама запись сопровождалась пометкой о продаже украденного комплекта данных. При этом Warlock в отличие от других вымогательских групп не публикует даты атак и редко показывает примеры похищенных материалов, ограничиваясь лаконичными пометками о статусе выкупа или ссылкой на архив.
Стиль ведения переговоров у Warlock демонстративно жёсткий: на своём сайте они обвиняют организации в безответственности и обещают публикацию данных в случае отказа от контакта. В то же время для крупных корпораций с критически чувствительной информацией они заявляют, что полный массив похищенного не будет выложен публично. Такой подход позволяет группировке одновременно давить на репутацию жертвы и поддерживать интерес покупателей на чёрном рынке.
Отдельное внимание в отчёте Sophos уделяется технике атак. Первое публичное появление Warlock состоялось в июне на одном из хакерских форумов, где представитель группировки искал эксплойты для корпоративных приложений вроде Veeam, ESXi и SharePoint, а также инструменты обхода EDR-систем. Уже в июле Microsoft зафиксировала применение этой группой свежей уязвимости нулевого дня в локальных серверах SharePoint.
Кроме этого, злоумышленники активно комбинируют проверенные временем методы: используют Mimikatz для кражи учётных данных, PsExec и Impacket для горизонтального перемещения, а через групповые политики распространяют шифровальщик по сети. Для скрытого трафика они задействуют легитимные инструменты, в частности Velociraptor. Такой набор делает их атаки гибкими и сложными для обнаружения. Sophos отмечает, что подобная смесь стандартных приёмов и точечных новшеств показывает хорошую подготовку и смелость исполнителей.
За короткое время Warlock попали в список двадцати самых деятельных вымогательских операций за последний год. По оценке специалистов, дальнейшее усиление давления на инфраструктуру компаний маловероятно остановится без агрессивных мер со стороны обороняющихся.
