Tehnologija

Warlock ransomware može biti povezan s kineskom državom

anketa.plus
Izvor: anketa.plus
Warlock ransomware može biti povezan s kineskom državom

Shutter2U – stock.adobe.com

Operateri Warlock ransomware-a koji su ranije ove godine iskoristili skup ranjivosti SharePoint Servera vjerovatno imaju neku vrstu veze s kineskom vladom, tvrde istraživači

By

  • Alex Scroxton,Security Editor

Objavljeno: 09 okt 2025 17:00

Novi soj ransomware-a poznat kao Warlock – koji je bio povezan s višestrukim napadima orkestriranim preko ranjivosti u on-premise Microsoft SharePoint Server instancama tokom ljeta 2025. – je sa visokim stepenom sigurnosti povezan s akterima prijetnji kineskih nacionalnih država od strane istraživača u Halcyonovom Centru za istraživanje ransomwarea.

SharePoint napadi su nastali kroz lanac ranjivosti nazvan ToolShell i brzo su povezani s dvije poznate kineske grupe za napredne persistentne prijetnje (APT) – Linen Typhoon i Violet Typhoon – od strane Microsofta.

U isto vrijeme, Microsoft je primijetio neklasificiranog aktera prijetnje poznatog kao Storm-2603 kako iskorištava ranjivosti ToolShell-a i brzo je uspostavio vezu s Warlockom. Do kraja avgusta, Warlockovi operateri su preuzeli brojne žrtve, uključujući telekom kompanije Colt i Orange.

Dva mjeseca kasnije, Halcyonov tim sada kaže da Warlock vjerovatno ima veze s kineskim APT-ovima koje je imenovao Microsoft, što je procjena koju je bazirala na ranom pristupu bande ToolShell-u, i novim uzorcima zlonamjernog softvera i tehničkoj analizi, za koje tvrdi da naglašava razvoj profesionalnog nivoa koji je više dosljedan dobro financiranim državnim grupama nego kriminalcima.

“Naša nova tehnička analiza uključivala je identifikaciju da je Warlock od početka planirao da implementira više porodica ransomware-a kako bi zbunio atribuciju, izbjegao otkrivanje i ubrzao utjecaj. Na osnovu tehničkih preklapanja, Halcyon prati Warlocka kao istu grupu kao Storm-2603 – Microsoft – i Cl-CRI-1040 – Palo Alto2,” rekao je tim 4.

Halcyon tim je također potvrdio prethodno predložene veze s LockBit-om, navodeći da je Warlock uživao u tome što je bio posljednja podružnica LockBita registrovana prije curenja podataka u maju 2025. i da je koristio LockBit 3.0 kao operativni alat i razvojnu osnovu za vlastiti ormarić za ransomware.

Cynthia Kaiser, viša potpredsjednica Halcyonovog Ransomware istraživačkog centra, rekla je da atribucija nije došla iz vedra neba, s obzirom na visokoprofilnu i naširoko prijavljivanu prirodu provale u SharePoint.

„Ipak, ovi nalazi su posebno značajni jer izazivaju zabrinutost zbog većeg broja napada ransomware-a koji su rezultat napredovanja aktivnosti nacionalne države“, rekao je Kaiser za Computer Weekly. “Istorijski gledano, napadi ransomware-a i napadi na nacionalne države [or] špijunaža je imala odvojene motive i taktike za postizanje svojih ciljeva – saznanje da ransomware može biti povratni utjecaj aktivnosti nacionalne države stavlja više opterećenja na branitelje mreže koji možda nisu spremni.”

U ovom slučaju, rekao je Kasier, bilo je teško odrediti preciznu prirodu navodne veze – Warlockovi operateri možda koriste lične veze jer su radili s kineskim državnim sajber agentima u prošlosti, ili je suradnja možda direktnije službena, možda čak i direktno ugovorena. “Očekivali bismo da je većina ove aktivnosti imala prećutno, ali ne nužno eksplicitno odobrenje Pekinga”, dodala je.

Nova granica

Ovo nije nužno prvi put da je finansijski motiviranim kineskim sajber kriminalcima dozvoljeno da djeluju bez posljedica od strane vlade. Kaiser je citirao Hafnium napade na Microsoft Exchange Server 2021. godine, koji su također pokazali određeni stepen preklapanja.

Ipak, Kaiser je rekla da očekuje da će ovaj trend rasti, a sve veća ekspanzija kineske sajber špijunaže u susjedna područja predstavlja novu i opasnu granicu za branitelje.

“Važno je da zaštitnici mreže budu svjesni potencijala špijunskih kampanja da se pretvore u napade ransomware-a. Mrežni branitelji možda neće prirodno razmišljati o ransomware-u kada se bave napadom nacionalne države”, rekao je Kaiser. “Ono što su nekada bili binarni fokusi između ransomware-a i napada na nacionalne države sada se moraju razmatrati zajedno. Ovo nije samo pitanje Kine. Moramo biti spremni da on postane sve uobičajeniji – ovo nije jednokratan slučaj.”

Pročitajte više o hakerima i prevenciji sajber kriminala

  • F5 priznaje da je akter iz nacionalne države ukrao BIG-IP izvorni kod

    Autor: Aaron Tan

  • Gašenje američke vlade zaustavlja dijeljenje cyber informacija

    Autor: Alex Scroxton

  • SolarWinds upozorava na opasan RCE nedostatak

    Autor: Alex Scroxton

  • Warlock traži više žrtava jer su sajber napadi pogodili Colt i Orange

    Autor: Alex Scroxton