Warlock

Überblick

Bei Warlock handelt es sich um eine Ransomware samt zugehöriger Betreiber, die dem mutmaßlich in China ansässigen Bedrohungsakteur Storm-2603 zugerechnet werden. Dieser Akteur soll zuvor auch LockBit-Ransomware eingesetzt haben; zudem bestehen Überschneidungen bei den Opfern mit der Gruppe Black Basta. Sowohl LockBit als auch Black Basta arbeiten nach dem Ransomware-as-a-Service-Modell und verfügen über eine umfangreiche Liste bekannter und unbekannter Partner. Vor diesem Hintergrund wird Warlock am ehesten als Partner (vermutlich eine Cybergruppierung) beider Operationen eingeordnet. Die Verbindung ließe sich technisch als gemeinsame Nutzung von Verschlüsselungswerkzeugen beschreiben; realistischer erscheint jedoch die Einschätzung, dass es sich um einen ehemaligen Partner handelt, der einen eigenen Ransomware-Verschlüsseler und eine eigene Operation aufgebaut hat. Charakteristisch für Warlock ist damit der Übergang von einer Partnerrolle innerhalb etablierter RaaS-Strukturen hin zu einer eigenständigen Erpressungsoperation mit eigenem technischem Werkzeugkasten.

Taktiken & Vorgehen

Zur Erbeutung von Zugangsdaten setzt Warlock auf Mimikatz, Veeam-Get-Creds sowie das Auslesen von Minidumps. Zur Abwehr von Sicherheitssoftware kommt die Technik „Bring Your Own Vulnerable Driver“ (BYOVD) zum Einsatz, unter anderem mit Treibern des Antiy System In-Depth Analysis Toolkits, von NsecSoft und Rising Antivirus sowie einem VMTools-AV-Killer; ergänzend werden Werkzeuge wie SecurityCheck und ein RDP Patcher genutzt. Für laterale Bewegung und Fernsteuerung dienen PowerShell Remoting (PSRemoting), PsExec, Cobalt Strike, Velociraptor, Radmin, TightVNC, OpenSSH, Cloudflared und VS-Code-Tunnel. Dateisuche und Verteilung erfolgen über Everything.exe, Msiexec und Yuze. Zur Datenexfiltration werden RClone sowie diverse Cloud-Speicherdienste wie Azure Blob Storage, MinIO und Supabase eingesetzt.

Schutzmaßnahmen

Da Zugangsdaten mit Mimikatz, Veeam-Get-Creds und Minidumps abgegriffen werden, sollte der Zugriff auf den Speicher privilegierter Prozesse eingeschränkt und überwacht werden. Gegen die BYOVD-Technik mit verwundbaren Treibern sollten Treibersperrlisten gepflegt und das Laden signierter, aber anfälliger Treiber unterbunden werden. Fernzugriffs- und Tunnelwerkzeuge wie RDP Patcher, PsExec, PSRemoting, TightVNC, Radmin, OpenSSH, Cloudflared und VS-Code-Tunnel erfordern eine strikte Absicherung von Fernzugängen sowie die Überwachung auf unautorisierte Verwaltungs- und Tunnelverbindungen. Der Einsatz von RClone und Cloud-Diensten wie Azure Blob Storage, MinIO und Supabase legt eine Überwachung ausgehenden Datenverkehrs auf untypische Speicher- und Übertragungsziele nahe.