Redazione RHC : 23 septiembre 2025 10:07
El grupo Warlock , también conocido como Storm-2603 y GOLD SALEM , ha pasado de ser un recién llegado a convertirse en un actor importante en el mercado del ransomware en tan solo unos meses. Investigadores de Sophos informan que el grupo inició su actividad en marzo de 2025 y que , para septiembre, ya había creado su propio portal de filtraciones de datos, «Warlock Client Data Leak Show», donde se publicaron 60 víctimas. Los atacantes operan en todo el mundo, atacando a pequeñas agencias gubernamentales y empresas comerciales, así como a corporaciones multinacionales de Norteamérica, Sudamérica y Europa.
Warlock recibió especial atención tras los incidentes de agosto: los criminales se jactaron de haber comprometido a la empresa francesa Orange y a la británica Colt . En esta última, afirmaron haber robado un millón de documentos e incluso anunciaron una subasta del archivo.
El mismo recurso incluyó posteriormente a Star Alliance entre sus víctimas, aunque no hubo confirmación oficial de la organización, y la publicación misma incluía una nota sobre la venta del conjunto de datos robado . A diferencia de otros grupos de ransomware, Warlock no publica las fechas de los ataques y rara vez muestra ejemplos de material robado, limitándose a notas breves sobre el estado del rescate o un enlace a un archivo.
El estilo de negociación de Warlock es claramente duro: en su sitio web, acusan a las organizaciones de irresponsabilidad y prometen revelar datos si se niegan a contactarlas. Al mismo tiempo, en el caso de las grandes empresas que poseen información extremadamente sensible, declaran que no se hará público el alcance total de los datos robados. Este enfoque permite al grupo socavar la reputación de la víctima y, al mismo tiempo, mantener el interés de los compradores del mercado negro.
El informe de Sophos hace especial hincapié en las técnicas de ataque. Warlock apareció públicamente por primera vez en junio en un foro de hackers, donde un representante del grupo buscaba exploits para aplicaciones empresariales como Veeam, ESXi y SharePoint , así como herramientas para eludir los sistemas EDR.
En julio, Microsoft ya había detectado que el grupo estaba utilizando una nueva vulnerabilidad de día cero en servidores locales de SharePoint.
El exploit fue distribuido inicialmente por el grupo chino Salt Typhoon el 18 de julio, pero una actualización problemática dejó vulnerables a decenas de miles de sistemas, incluyendo servidores gubernamentales. Warlock aprovechó la situación e implementó su propia cadena ToolShell para instalar un shell web y lograr persistencia en la red mediante un servidor Golang personalizado basado en WebSocket.
Además, los atacantes combinan activamente métodos probados: utilizan Mimikatz para robar credenciales, PsExec e Impacket para el movimiento lateral, y distribuyen ransomware por la red mediante políticas de grupo. Para el tráfico encubierto, utilizan herramientas legítimas, en particular Velociraptor . Esta combinación hace que sus ataques sean flexibles y difíciles de detectar. Sophos enfatiza que esta combinación de técnicas estándar e innovaciones específicas demuestra el alto nivel de preparación y valentía de los autores.
Warlock se convirtió rápidamente en una de las 20 operaciones de ransomware más activas del año pasado. Los expertos estiman que es improbable que se detenga la presión sobre las infraestructuras corporativas sin medidas enérgicas por parte de los operadores de seguridad.
Para mitigar los riesgos, los expertos aconsejan a las organizaciones prestar mayor atención a la monitorización de la superficie de ataque, aplicar parches rápidamente a los servicios públicos y mantenerse preparadas para una respuesta rápida a incidentes. Sophos enfatiza que comprender las tácticas de Warlock es esencial para fortalecer las defensas antes de que el grupo seleccione un nuevo objetivo.
RedazioneSe ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
La cita, “Definitivamente construiremos un búnker antes de lanzar AGI”, que inspiró el artículo, fue atribuida a un líder de Silicon Valley, aunque no está claro exactamente a quién se refer...
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
