Wprowadzenie do problemu / definicja
Grupa ransomware Warlock rozwija swoje operacje po uzyskaniu wstępnego dostępu do środowiska ofiary, koncentrując się na utrzymaniu trwałości, ruchu bocznym oraz ograniczaniu widoczności aktywności dla mechanizmów obronnych. To wyraźny sygnał, iż współczesne kampanie ransomware coraz częściej wykraczają poza prosty model szybkiego wejścia i szyfrowania danych.
Z perspektywy obrońców oznacza to konieczność analizowania całego łańcucha ataku, a nie jedynie fazy końcowej. o ile napastnik buduje kilka kanałów dostępu, maskuje komunikację i nadużywa legalnych narzędzi administracyjnych, wykrycie incydentu staje się znacznie trudniejsze.
W skrócie
Warlock przez cały czas wykorzystuje niezałatane, publicznie dostępne serwery Microsoft SharePoint jako punkt wejścia do sieci. W najnowszych obserwacjach szczególną uwagę zwraca rozbudowa działań post-exploitation, w tym użycie modelu BYOVD, wdrożenie TightVNC jako trwałego dostępu zdalnego oraz zastosowanie narzędzia Yuze do tunelowania ruchu i ukrywania komunikacji.
- punktem wejścia pozostają podatne instancje Microsoft SharePoint,
- atakujący wdrażają trwałe mechanizmy zdalnego dostępu,
- ruch C2 i komunikacja boczna są maskowane przez popularne porty,
- technika BYOVD zwiększa skuteczność obchodzenia zabezpieczeń endpointowych,
- cała operacja wskazuje na wzrost dojrzałości technicznej grupy.
Kontekst / historia
Warlock jest stosunkowo młodą grupą na scenie ransomware, ale tempo jej rozwoju operacyjnego jest wysokie. W drugiej połowie 2025 roku aktywność tej grupy była obserwowana między innymi wobec sektora technologicznego, produkcyjnego oraz instytucji rządowych, a publiczny debiut przypisano jej w czerwcu 2025 roku.
Jednym z najważniejszych elementów kampanii pozostaje konsekwentne wykorzystywanie podatności w lokalnych wdrożeniach Microsoft SharePoint. Wśród wskazywanych luk pojawiają się CVE-2025-49704, CVE-2025-49706 oraz CVE-2025-53770, co pokazuje, iż podstawowy wektor wejścia nie zmienia się choćby wtedy, gdy grupa rozwija swoje techniki działania po kompromitacji.
Analiza techniczna
W analizowanym incydencie operatorzy Warlock mieli utrzymywać się w środowisku ofiary przez około 15 dni przed uruchomieniem ransomware. Najwcześniejsze ślady aktywności powiązano z procesem roboczym SharePoint, co wzmacnia ocenę, iż to właśnie podatny serwer aplikacyjny był punktem startowym całej operacji.
Po uzyskaniu dostępu napastnicy wdrożyli TightVNC jako usługę systemową Windows z wykorzystaniem PsExec. Takie podejście zapewnia stabilny, graficzny dostęp zdalny, który może służyć zarówno do eksploracji środowiska, jak i do manualnego wykonywania kolejnych etapów ataku.
Drugim istotnym elementem było użycie Yuze, lekkiego narzędzia reverse proxy napisanego w języku C. Umożliwia ono zestawianie połączeń SOCKS5 przez porty 80, 443 i 53, dzięki czemu komunikacja może wyglądać jak legalny ruch sieciowy. W praktyce ułatwia to ukrywanie kanałów C2 oraz wspiera ruch boczny przy niższym ryzyku wzbudzenia alertów opartych wyłącznie na analizie niestandardowych portów.
Szczególnie groźnym komponentem operacji jest technika BYOVD. Polega ona na dostarczeniu do środowiska legalnego, ale podatnego sterownika, który następnie jest wykorzystywany do działań na poziomie jądra systemu. W opisywanym przypadku wskazano sterownik NSecKrnl.sys używany do wyłączania lub zakłócania działania produktów bezpieczeństwa, co może ograniczać skuteczność EDR i AV.
Nowe techniki nie zastępują wcześniejszego arsenału Warlock, ale go rozszerzają. W poprzednich obserwacjach wskazywano między innymi użycie Velociraptor jako frameworka C2, tuneli Cloudflare do zdalnego dostępu oraz Rclone maskowanego jako legalnie wyglądający plik wykonywalny do eksfiltracji danych. Taki warstwowy model operacyjny zwiększa redundancję i utrudnia pełne odcięcie intruza od środowiska.
Konsekwencje / ryzyko
Największe zagrożenie nie wynika wyłącznie z samego szyfrowania danych, ale z czasu, jaki napastnik spędza w sieci ofiary przed uruchomieniem finalnej fazy ataku. Dłuższy dwell time zwiększa prawdopodobieństwo eskalacji uprawnień, przejęcia kont uprzywilejowanych, rekonesansu domeny, eksfiltracji danych oraz sabotażu mechanizmów odtworzeniowych.
Dodatkowym problemem jest nadużywanie legalnych narzędzi administracyjnych oraz ukrywanie ruchu w kanałach wykorzystujących popularne porty. Takie działania obniżają skuteczność detekcji bazującej wyłącznie na sygnaturach lub prostym monitoringu sieciowym. Z kolei BYOVD podnosi ryzyko neutralizacji zabezpieczeń endpointowych jeszcze przed uruchomieniem szyfrowania.
Dla organizacji oznacza to, iż pojedyncza luka w publicznie dostępnym SharePoint może stać się początkiem pełnoskalowego incydentu obejmującego kradzież danych, przejęcie infrastruktury oraz paraliż systemów krytycznych. Ryzyko rośnie dodatkowo wtedy, gdy podatności wykorzystywane przez napastników znajdują się w katalogach aktywnie eksploatowanych luk.
Rekomendacje
Priorytetem powinno być pilne ograniczenie ekspozycji publicznie dostępnych serwerów SharePoint oraz szybkie wdrożenie wszystkich dostępnych poprawek i działań zaradczych. Szczególną uwagę należy poświęcić środowiskom lokalnym, starszym wdrożeniom oraz systemom funkcjonującym poza standardowym cyklem aktualizacji.
- ograniczyć bezpośrednią ekspozycję usług administracyjnych i zdalnych do Internetu,
- wymusić MFA dla wszystkich punktów dostępu zewnętrznego,
- monitorować użycie PsExec, TightVNC, Rclone oraz nietypowych tuneli i reverse proxy,
- wdrożyć detekcje dla podejrzanych sterowników i prób ładowania nowych driverów,
- zwiększyć widoczność ruchu bocznego oraz połączeń SOCKS,
- prowadzić segmentację sieci i ograniczać uprawnienia administracyjne,
- regularnie testować kopie zapasowe oraz procedury odtwarzania po incydencie.
Warto również przeprowadzić retrospektywną analizę logów pod kątem aktywności procesu SharePoint, nietypowych usług Windows, uruchamiania narzędzi administracyjnych oraz zmian związanych z instalacją sterowników. W środowiskach podwyższonego ryzyka uzasadnione może być czasowe zaostrzenie polityk AppLocker lub WDAC.
Podsumowanie
Warlock pokazuje, iż nowoczesne operacje ransomware coraz częściej opierają się na dojrzałych technikach post-exploitation, a nie tylko na skutecznym wejściu do organizacji. Połączenie podatnych serwerów SharePoint, techniki BYOVD, tunelowania ruchu i nadużywania legalnych narzędzi administracyjnych tworzy trudniejszy do wykrycia i bardziej odporny łańcuch ataku.
Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego wzmacniania patch management, monitoringu lateral movement, ochrony endpointów oraz kontroli nad zdalnym dostępem. W praktyce opóźnianie aktualizacji systemów publicznych przez cały czas pozostaje jednym z najprostszych sposobów otwarcia drogi do poważnego incydentu ransomware.