Die Warlock-Ransomwaregruppe zeigt bemerkenswerte Innovationsfähigkeit bei der Verbesserung ihrer Angriffsmethoden. Zwar konzentriert sich die Gruppe weiterhin auf die Ausnutzung ungepatchteMicrosoft-SharePoint-Sicherheitslücken als primären Zugangsweg, doch hat sie ihre Techniken nach dem erfolgreichen Eindringen in Netzwerke erheblich erweitert.
Bei einem Angriff im Januar dokumentierten Sicherheitsforscher, wie Warlock 15 Tage lang im Netzwerk eines Opfers agierte, bevor die eigentliche Ransomware ausgelöst wurde. Die Eindringlingsspuren führten zur SharePoint-Worker-Prozess (w3wp.exe) auf dem kompromittierten Server, was die anhaltende Abhängigkeit der Gruppe von SharePoint-Schwachstellen unterstreicht. Im Visier stehen dabei mehrere kritische Vulnerabilities: CVE-2025-49706 (Spoofing), CVE-2025-49704 (Remote Code Execution) sowie CVE-2025-53770 und CVE-2025-53771.
Die Weiterentwicklung der Post-Exploitation-Techniken ist jedoch das eigentlich Bemerkenswerte. Warlock setzt nun auf TightVNC als Windows-Service, das über PsExec bereitgestellt wird und persistenten RDP-basierten Zugriff ermöglicht. Zusätzlich nutzt die Gruppe Yuze, ein leichtgewichtiges Reverse-Proxy-Tool, das SOCKS5-Verbindungen über die Ports 80, 443 und 53 aufbaut. Dies ermöglicht es den Angreifern, ihre bösartige Aktivität als normale Netzwerkkommunikation zu tarnen.
Besonders innovativ ist der Einsatz der BYOVD-Technik: Warlock exploitiert eine Schwachstelle im NSecKrnl.sys-Treiber, um Sicherheitssoftware auf Kernel-Ebene zu deaktivieren. Dies ersetzt die früher genutzten googleApiUtil64.sys-Treiber und zeigt eine deutlich fortgeschrittenere Entwicklung der Treiber-basierten Angriffstaktiken.
Zusätzlich zu diesen neuen Methoden nutzt Warlock weiterhin bewährte Tools: Cloudflare-Tunnel als Command-and-Control-Kanäle und Rclone (getarnt als TrendSecurity.exe) für die Datenexfiltration. Diese mehrschichtige Architektur mit redundanten Kommunikationskanälen demonstriert eine bewusste Investition in operative Widerstandsfähigkeit und Erkennungsvermeidung.
Obwohl Warlock erst im Juni 2024 seinen öffentlichen Debut im russischen Cybercrime-Forum RAMP gab, hat sich die Gruppe rapid weiterentwickelt. Die rasche Verfügbarkeit von neuen Techniken unterstreicht die Professionalisierung selbst noch relativ junger Ransomwaregruppen.
Für Verteidiger ist die Situation eindeutig: Sofortige Patches für SharePoint-Sicherheitslücken sind essentiell. Darüber hinaus sollten Organisationen RDP und administrative Interfaces nicht direkt dem Internet aussetzen, Multifaktor-Authentifizierung auf allen externen Zugangspunkten erzwingen, und aktiv auf die Missbrauch von legitimen administrativen Tools überwachen. Besondere Aufmerksamkeit verdienen anomale Treiber-Aktivitäten und Kernel-Level-Manipulationen.