Redazione RHC : 23 septiembre 2025 10:07
El grupo Warlock , también conocido como Storm-2603 y GOLD SALEM , ha pasado de ser un recién llegado a convertirse en un actor importante en el mercado del ransomware en tan solo unos meses. Investigadores de Sophos informan que el grupo inició su actividad en marzo de 2025 y que , para septiembre, ya había creado su propio portal de filtraciones de datos, «Warlock Client Data Leak Show», donde se publicaron 60 víctimas. Los atacantes operan en todo el mundo, atacando a pequeñas agencias gubernamentales y empresas comerciales, así como a corporaciones multinacionales de Norteamérica, Sudamérica y Europa.
Warlock recibió especial atención tras los incidentes de agosto: los criminales se jactaron de haber comprometido a la empresa francesa Orange y a la británica Colt . En esta última, afirmaron haber robado un millón de documentos e incluso anunciaron una subasta del archivo.
El mismo recurso incluyó posteriormente a Star Alliance entre sus víctimas, aunque no hubo confirmación oficial de la organización, y la publicación misma incluía una nota sobre la venta del conjunto de datos robado . A diferencia de otros grupos de ransomware, Warlock no publica las fechas de los ataques y rara vez muestra ejemplos de material robado, limitándose a notas breves sobre el estado del rescate o un enlace a un archivo.
El estilo de negociación de Warlock es claramente duro: en su sitio web, acusan a las organizaciones de irresponsabilidad y prometen revelar datos si se niegan a contactarlas. Al mismo tiempo, en el caso de las grandes empresas que poseen información extremadamente sensible, declaran que no se hará público el alcance total de los datos robados. Este enfoque permite al grupo socavar la reputación de la víctima y, al mismo tiempo, mantener el interés de los compradores del mercado negro.
El informe de Sophos hace especial hincapié en las técnicas de ataque. Warlock apareció públicamente por primera vez en junio en un foro de hackers, donde un representante del grupo buscaba exploits para aplicaciones empresariales como Veeam, ESXi y SharePoint , así como herramientas para eludir los sistemas EDR.
En julio, Microsoft ya había detectado que el grupo estaba utilizando una nueva vulnerabilidad de día cero en servidores locales de SharePoint.
El exploit fue distribuido inicialmente por el grupo chino Salt Typhoon el 18 de julio, pero una actualización problemática dejó vulnerables a decenas de miles de sistemas, incluyendo servidores gubernamentales. Warlock aprovechó la situación e implementó su propia cadena ToolShell para instalar un shell web y lograr persistencia en la red mediante un servidor Golang personalizado basado en WebSocket.
Además, los atacantes combinan activamente métodos probados: utilizan Mimikatz para robar credenciales, PsExec e Impacket para el movimiento lateral, y distribuyen ransomware por la red mediante políticas de grupo. Para el tráfico encubierto, utilizan herramientas legítimas, en particular Velociraptor . Esta combinación hace que sus ataques sean flexibles y difíciles de detectar. Sophos enfatiza que esta combinación de técnicas estándar e innovaciones específicas demuestra el alto nivel de preparación y valentía de los autores.
Warlock se convirtió rápidamente en una de las 20 operaciones de ransomware más activas del año pasado. Los expertos estiman que es improbable que se detenga la presión sobre las infraestructuras corporativas sin medidas enérgicas por parte de los operadores de seguridad.
Para mitigar los riesgos, los expertos aconsejan a las organizaciones prestar mayor atención a la monitorización de la superficie de ataque, aplicar parches rápidamente a los servicios públicos y mantenerse preparadas para una respuesta rápida a incidentes. Sophos enfatiza que comprender las tácticas de Warlock es esencial para fortalecer las defensas antes de que el grupo seleccione un nuevo objetivo.
RedazioneHoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
Recientemente publicamos un artículo en profundidad sobre el «robo del siglo» en el Louvre , en el que destacamos cómo la seguridad física ( acceso, control ambiental, vigilancia ) está ahora es...
Los usuarios que buscan optimizar al máximo el espacio en Windows han batido un nuevo récord. El entusiasta @XenoPanther ha logrado reducir el tamaño de una copia en ejecución de Windows 7 a tan s...
El informe financiero de Microsoft indica que OpenAI podría haber perdido 12.000 millones de dólares en su último trimestre fiscal. Un gasto en el informe de ganancias de Microsoft (517,81, -7,95, ...
