Redazione RHC : 23 septiembre 2025 10:07
El grupo Warlock , también conocido como Storm-2603 y GOLD SALEM , ha pasado de ser un recién llegado a convertirse en un actor importante en el mercado del ransomware en tan solo unos meses. Investigadores de Sophos informan que el grupo inició su actividad en marzo de 2025 y que , para septiembre, ya había creado su propio portal de filtraciones de datos, «Warlock Client Data Leak Show», donde se publicaron 60 víctimas. Los atacantes operan en todo el mundo, atacando a pequeñas agencias gubernamentales y empresas comerciales, así como a corporaciones multinacionales de Norteamérica, Sudamérica y Europa.
Warlock recibió especial atención tras los incidentes de agosto: los criminales se jactaron de haber comprometido a la empresa francesa Orange y a la británica Colt . En esta última, afirmaron haber robado un millón de documentos e incluso anunciaron una subasta del archivo.
El mismo recurso incluyó posteriormente a Star Alliance entre sus víctimas, aunque no hubo confirmación oficial de la organización, y la publicación misma incluía una nota sobre la venta del conjunto de datos robado . A diferencia de otros grupos de ransomware, Warlock no publica las fechas de los ataques y rara vez muestra ejemplos de material robado, limitándose a notas breves sobre el estado del rescate o un enlace a un archivo.
El estilo de negociación de Warlock es claramente duro: en su sitio web, acusan a las organizaciones de irresponsabilidad y prometen revelar datos si se niegan a contactarlas. Al mismo tiempo, en el caso de las grandes empresas que poseen información extremadamente sensible, declaran que no se hará público el alcance total de los datos robados. Este enfoque permite al grupo socavar la reputación de la víctima y, al mismo tiempo, mantener el interés de los compradores del mercado negro.
El informe de Sophos hace especial hincapié en las técnicas de ataque. Warlock apareció públicamente por primera vez en junio en un foro de hackers, donde un representante del grupo buscaba exploits para aplicaciones empresariales como Veeam, ESXi y SharePoint , así como herramientas para eludir los sistemas EDR.
En julio, Microsoft ya había detectado que el grupo estaba utilizando una nueva vulnerabilidad de día cero en servidores locales de SharePoint.
El exploit fue distribuido inicialmente por el grupo chino Salt Typhoon el 18 de julio, pero una actualización problemática dejó vulnerables a decenas de miles de sistemas, incluyendo servidores gubernamentales. Warlock aprovechó la situación e implementó su propia cadena ToolShell para instalar un shell web y lograr persistencia en la red mediante un servidor Golang personalizado basado en WebSocket.
Además, los atacantes combinan activamente métodos probados: utilizan Mimikatz para robar credenciales, PsExec e Impacket para el movimiento lateral, y distribuyen ransomware por la red mediante políticas de grupo. Para el tráfico encubierto, utilizan herramientas legítimas, en particular Velociraptor . Esta combinación hace que sus ataques sean flexibles y difíciles de detectar. Sophos enfatiza que esta combinación de técnicas estándar e innovaciones específicas demuestra el alto nivel de preparación y valentía de los autores.
Warlock se convirtió rápidamente en una de las 20 operaciones de ransomware más activas del año pasado. Los expertos estiman que es improbable que se detenga la presión sobre las infraestructuras corporativas sin medidas enérgicas por parte de los operadores de seguridad.
Para mitigar los riesgos, los expertos aconsejan a las organizaciones prestar mayor atención a la monitorización de la superficie de ataque, aplicar parches rápidamente a los servicios públicos y mantenerse preparadas para una respuesta rápida a incidentes. Sophos enfatiza que comprender las tácticas de Warlock es esencial para fortalecer las defensas antes de que el grupo seleccione un nuevo objetivo.
RedazioneCloudflare ha anunciado que gestionó de forma independiente un ataque de denegación de servicio distribuido (DDoS) sin precedentes, el más grande jamás visto. El ataque hipervolumétrico alcanzó ...
Los piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
