Ransomware Warlock
A principios de junio se detectó un nuevo grupo de ransomware llamado Warlock, hasta el momento se han detectado 50 víctimas, de las cuales 31 fueron publicadas por el grupo este mes. Esta amenaza cuando fue descubierta público a 19 víctimas y se había mantenido inactiva en su sitio de filtraciones, pero a mediados de este mes volvió a publicar múltiples víctimas, lo que refleja la peligrosidad, evolución e impacto que puede provocar esta amenaza.
Se ha identificado que el ransomware Warlock se inclina por atacar victimas de Estados Unidos, Japón, Reino Unido, India y Francia; al igual se detectó que la mayoría de sus victimas se encuentran dentro de los sectores de Tecnología, Telecomunicaciones, Servicios Financieros, Manufactura, Gobierno, Educación y Agricultura e Alimentos. Esta amenaza utiliza múltiples técnicas y tácticas para atacar a sus víctimas, comienza con la explotación de vulnerabilidades y campañas de phishing para obtener acceso inicial a la infraestructura de las víctimas, después programan tareas para provocar persistencias en el sistema, modifican registros y configuraciones para evitar ser detectados por sistemas de protección o seguridad. Una vez obtuvieron acceso y deshabilitaron los sistemas de detección, su siguiente paso es lograr escalar privilegios mediante movimientos laterales y volcados de credenciales.
Al haber obtenido privilegios de administrador siguen haciendo movimientos laterales en busca información sensible, para después implementar el método de doble extorción en donde recopilan datos valiosos de sus víctimas para posteriormente exfiltrarlos, el siguiente movimiento de la amenaza es cifrar todos los archivos y eliminar los respaldos del sistema. La eliminación de los respaldos y el cifrado es unas de las tácticas mas utilizadas por grupos de ransomware para evitar que sus victimas se recuperen del ataque. Los últimos movimientos que hace Warlock en su ataque es dejar una nota de rescate en los equipos comprometidos en la cual mencionan que su sistema a sido comprometido por el grupo y piden un pago de rescate, que es el segundo paso del método de doble extorsión.
Nota de rescate del ransomware Warlock [1]
El pago de rescate es una táctica implementada por Warlock para presionar a sus víctimas, debido a que el grupo menciona en la nota de rescate que en caso de no pagar el rescate la información comprometida será publicada y puesta en venta en sus sitios de filtraciones.
Sitio de filtraciones del ransomware Warlock [2]
Este ransomware también ha ganado notoriedad rápidamente debido a que ha sido vinculado a la explotación activa de múltiples vulnerabilidades de Microsoft SharePoint CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 y CVE-2025-53771. La explotación de todas estas vulnerabilidades fue llamada cadena de explotación de ToolShell y les permite a estos atacantes obtener acceso a los sistemas de sus víctimas, escalar privilegios, hacer movimientos laterales y ejecutar código de forma remota. Las técnicas, tácticas y contaste evolución del ransomware Warlock reflejan el impacto significativo que puede ocasionar en la infraestructura de sus víctimas y lo que puede convertir al grupo en una amenaza critica.
Taxonomía MITRE ATT&CK
|
Táctica |
ID |
Nombre |
|
Reconnaissance |
T1590 |
Gather Victim Network Information |
|
Initial Access |
T1190 |
Exploit Public-Facing Application |
|
T1133 |
External Remote Services |
|
|
Execution |
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
Persistence |
T1505.003 |
Server Software Component: Web Shell |
|
Privilege Escalation |
T1078 |
Valid Accounts |
|
Defense Evasion |
T1027 |
Obfuscated Files or Information |
|
Credential Access |
T1003 |
OS Credential Dumping |
|
Discovery |
T1018 |
Remote System Discovery |
|
T1016 |
System Network Configuration Discovery |
|
|
T1082 |
System Information Discovery |
|
|
T1046 |
Network Service Discovery |
|
|
Lateral Movement |
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
Collection |
T1213 |
Data from Information Repositories |
|
Command and Control |
T1071 |
Application Layer Protocol |
|
Impact |
T1498 |
Network Denial of Service |
Indicadores de compromiso
|
IOC |
Tipo |
|
02b4571470d83163d103112f07f1c434 |
FileHash-MD5 |
|
2bae4487ccb7cb14ea48947725c452ac |
FileHash-MD5 |
|
f5b60a8ead96703080e73a1f79c3e70ff44df271 |
FileHash-SHA1 |
|
ffe18db834403070a7e5ab8c0a19637c64f32a4d |
FileHash-SHA1 |
|
24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf |
FileHash-SHA256 |
|
6f6db63ece791c6dc1054f1e1231b5bbcf6c051a49bad0784569271753e24619 |
FileHash-SHA256 |
|
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 |
FileHash-SHA256 |
|
b5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf6b0 |
FileHash-SHA256 |
|
c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94 |
FileHash-SHA256 |
|
d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d |
FileHash-SHA256 |
|
104.238.159.149 |
IPv4 |
|
134.199.202.205 |
IPv4 |
|
bf9f0c82c2ee89c7bc5480adc5e9494e |
FileHash-MD5 |
|
0488509b4dbc16dcb6d5f531e3c8b9a59b69e522 |
FileHash-SHA1 |
|
bba75dc056ef7f9c4ade39b32174c5980233fc1551c41aca9487019191764bac |
FileHash-SHA256 |
|
68bd43a00ba948f435ecbdd402914298 |
FileHash-MD5 |
|
8a0b41e965e66689e78ca36d3477cb0c |
FileHash-MD5 |
|
b0744a33e3308082ebb6f8a8e917ba9b |
FileHash-MD5 |
|
8b13118b378293b9dc891b57121113d0aea3ac8a |
FileHash-SHA1 |
|
cf0da7f6450f09c8958e253bd606b83aa80558f2 |
FileHash-SHA1 |
|
983b4e6edd2b289dd1a389aed908861fd8f0bf7d8e82a916ebe6d4df8642ab54 |
FileHash-SHA256 |
|
bba75dc056ef7f9c4ade39b32174c5980233fc1551c41aca9487019191764bac |
FileHash-SHA256 |
|
da8de7257c6897d2220cdf9d4755b15aeb38715807e3665716d2ee761c266fdb |
FileHash-SHA256 |
|
96.9.125.147 |
IP |
|
45.191.66.77 |
IP |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Emerging Threat Actor: Warlock Ransomware. (2025, Julio 25) Halcyon. Recuperado el 27 de agosto del 2025 en: https://www.halcyon.ai/blog/emerging-threat-actor-warlock-ransomware
- Dutta, T. S. (2025, Agosto 21). Warlock Ransomware Exploiting SharePoint Vulnerabilities to Gain Access and Steal Credentials. Cyber Security News. Recuperado el 27 de agosto del 2025, en: https://cybersecuritynews.com/warlock-ransomware-exploiting-sharepoint-vulnerabilities/
- The Hacker News. (2025, Julio 24). Storm-2603 Exploits SharePoint Flaws to Deploy Warlock Ransomware on Unpatched Systems. Recuperado el 27 de agosto del 2025, en: https://thehackernews.com/2025/07/storm-2603-exploits-sharepoint-flaws-to.html
