- Warlockランサムウェアグループは2025年3月の出現以来、60以上の被害者を侵害
- SophosはSharePointの脆弱性悪用、トンネリング、認証情報の窃取など高度な手法を強調
- グループは被害者の45%から盗んだデータを民間の買い手に販売したと主張
セキュリティ研究者たちは、新たなランサムウェアオペレーションが急速にその名を広めていると警告しています。
Sophosは、自らをWarlockと名乗るグループの活動を詳しく解説しています。ただし、アナリストによって呼び名が異なり、SophosはWarlockをGold Salemとして、MicrosoftはStorm-2603として追跡しています。
Sophosによれば、これは「ここ最近で最も懸念すべき新種」であり、2025年3月に初めて確認されて以来、60以上の被害者を侵害することに成功しています。
Warlockは中国系のプレイヤーなのか?
懸念すべきは被害者数だけではありません。このグループの活動は「高い能力と大胆さ」を示しており、わずか数か月でカスタムToolShellチェーンによるSharePointの脆弱性悪用、Velociraptorなど正規ツールを使った隠密トンネリング、Mimikatzによる認証情報の窃取、PsExec/Impacketによる横展開、GPOによるランサムウェアペイロードの展開などを実現しています。
また、これまで公に活動履歴がなかったにもかかわらず、アンダーグラウンドフォーラムでエクスプロイトやアクセスを調達することにも成功しています。
ただし、帰属の特定は非常に難しい状況です。MicrosoftはWarlockを「中国拠点のアクター」としていますが、Sophosは証拠が不十分だと主張しています。それでも、このグループは様々な国や業種の組織を標的にしている一方で、ロシアや中国の組織は巧妙に避けていることが観察されています。
ただし例外もあり、最近グループのデータリークサイトにロシアの組織が1件追加されました。Sophosによれば、これはグループがロシアの管轄外、または影響圏外で活動していることを示唆しています。
それでも、グループがサイトに追加した60以上の被害者のうち、27件(約45%)のデータを民間の買い手に販売したと主張しています。
注目すべきは、被害者のうちデータが公開リークされたのは32%のみであり、残りは身代金を支払ったか、データが非公開で売却された可能性があるという点です。
Sophosはまた、この「45%」という主張は誇張、あるいは完全な捏造の可能性もあると指摘しています。なぜなら、ランサムウェアグループはしばしば自らの影響力を誇張し、信頼性や恐怖心を高めようとするからです。
