O Ransomware Warlock Surgiu Recentemente Explorando ServiceRores Microsoft SharePoint Não Corrigidos para Acesso Redes Corporatives, Roubar Credenciais e Criptografar Arquivos críticos. Um Campanha tem como alvo divide o Governo, Financeiros e Industriais em Escala Global, e appresenta Alta Gravidade (pontuação do CVSS: 9,6).
Leia Tamboma
Ia em 78% das tentativas de fraude contra apostas
Shinyhunters e Spraid Spider Operações
Pesquisadorores Identificador que os operadores de operação utilizam requisitos http post maliciosas para injetar web shells em instâncias públicas do SharePoint. Partir DeSse Ponto, Escalam Privilégios, Movem-se lateralmente com Ferreios Nativas faz componentes do Windows e Próprios, até executário o Payload Que Aplica a extensão “.x2anylock” e exfiltra dados sensíveis.
Uma tendência de tendência micro-mostra que o código do warlock pode poder similaridades com o construtor do Lockbit 3.0, sugerindo tratar-se de uma variante personalizada. Além Disso, os criminosos empregam a ferrentura perna rclone, renomeada como tendrendcurity.exe, para extrair documentos e bases de dadas para um back-end de back-end proton drive. Para evadir, detectar, o Grupo Desativa Proteção de Endpoint por Meio de UM Malicioso (googleapiutil64.sys).
Outro aspecto crítico é o mecanismo de persistênia. APÓs A Instalação do Web Shell, um script Chamado Aquisição.bat Cria uma contagem backdoor, adiciona-a-ao Grupo de administradores, cargas de cópia para massas públicas e cria uma nova gpo chamada “aquisição”, garantindo que o acesse seja reativado mesmo após tentativos de corezao.
Devido Ao Uso de Técricas de Abuso de Políticos de Grupo, os motoristas Maliciosos e Utilitárrios Legítimos, um detectar e resposta ao warlock se Tornam Altentament Complexas. Especialistas Recomendam A Aplicação imediata de Patches em Servidores SharePoint, Além de Monitoramento Contínuo de GPOs, Servicos e Binários Renomeados em ambientes críticos.
Nesta Semana, a Serviços de Tecnologia ColtEmpresa Britânica de Telecomunicações, confirmou o sofrido o Roubo de Dadas Internos e de Clientes em um Ataque do Warlock. Os criminosos de OS afirmam ter obtido mais milhão de documentmos, inclluindo Dados Financeiros, Contratuais, Salariais, Informações de Rede e e-mails corporativos. Vários serviçoes da colt seguem indistoníveis, como o portal de clientes e apis de hosplemagem.
