Threat-Hunter-Analyse:: Warlock etabliert sich als neuer Ransomware-Trendsetter
Die Ransomware-Gruppe Warlock sorgt seit Frühjahr des Jahres mit einer Mischung aus klassischen Angriffstechniken und kreativen Methoden für Aufsehen. Eine aktuelle Analyse zeigt, wie sich die Gruppe, die auch unter dem Namen GOLD SALEM geführt wird, mit bereits über 60 Opfern auf ihrer Leak-Site in kurzer Zeit in der oberen Liga der Ransomware-Bedrohung etabliert hat.
Seit März 2025 kompromittieren die Angreifer Netzwerke und setzen dabei ihre eigens entwickelte „Warlock-Ransomware“ ein. Wie die Sophos Counter Threat Unit (CTU) herausfand, reicht die Opferliste von kleinen Unternehmen über staatliche Einrichtungen bis hin zu multinationalen Konzernen – vor allem in Nordamerika, Europa und Südamerika.
Neue Gruppe mit globalem Wirkungskreis
Auffällig ist, dass GOLD SALEM wie viele andere Gruppen lange Zeit auf Angriffe in China und Russland verzichtete. Am 8. September jedoch veröffentlichte sie erstmals den Namen eines russischen Unternehmens auf ihrer Leak-Seite. Dieses Unternehmen ist in der Stromerzeugungsindustrie tätig. Da Russland Ransomware-Akteure, die im eigenen Land angreifen, konsequent verfolgt, vermuten die Sophos-Experten, dass Warlock von außerhalb dieser Gerichtsbarkeit operiert.
Aufstieg im Untergrundforum
Bis Juni 2025 war die Gruppe kaum in Erscheinung getreten. Erst ein Beitrag im RAMP-Underground-Forum lenkte die Aufmerksamkeit auf sie. Dort suchte ein Vertreter nach Exploits für weit verbreitete Unternehmensanwendungen wie Veeam, ESXi und SharePoint. Zudem zeigte die Gruppe Interesse an Werkzeugen zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen. In einem weiteren Beitrag baten die Kriminellen um Kontakte zu Initial Access Brokern, die potenzielle Opfer liefern könnten.
Ob es der Gruppe um eigene Angriffe, den Aufbau eines Ransomware-as-a-Service-Modells oder eine Mischform geht, ist derzeit offen.
Kombination bekannter Angriffstechniken
Im Juli analysierten die CTU-Forscher einen Angriff, bei dem Warlock eine sogenannte ToolShell-Exploit-Kette nutzte, um Zugriff auf SharePoint-Server zu erlangen. Dabei kamen mehrere Sicherheitslücken zum Einsatz (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Nach erfolgreicher Kompromittierung installierten die Angreifer einen in Golang geschriebenen WebSockets-Server, der ihnen dauerhaften Zugriff auch ohne Web-Shell ermöglichte.
Besonders hinterhältig: Die Gruppe nutzte die Technik „Bring Your Own Vulnerable Driver“ (BYOVD), um Sicherheitssoftware auszuhebeln. Zum Einsatz kam ein verwundbarer Baidu Antivirus-Treiber, der in „googleApiUtil64.sys“ umbenannt wurde. Über die Schwachstelle CVE-2024-51324 konnten die Angreifer beliebige Prozesse beenden – darunter auch den EDR-Agenten.
Laterale Bewegung und Klau von Zugangsdaten
Laut Microsoft setzt Warlock bei der internen Ausbreitung auf bekannte Tools. Dazu gehört Mimikatz, um Klartext-Anmeldeinformationen direkt aus dem Speicher des Local Security Authority Subsystem Service (LSASS) zu extrahieren. Außerdem wurden PsExec und Impacket für laterale Bewegungen beobachtet sowie Gruppenrichtlinienobjekte (GPO), über die die Warlock-Nutzlast verteilt wurde.
Diese Kombination aus Standardwerkzeugen und spezifischen Exploits macht die Gruppe flexibel und schwer kalkulierbar.
Missbrauch legitimer Software
Im August stellten die CTU-Forscher fest, dass Warlock auch legitimierte Open-Source-Werkzeuge für eigene Zwecke missbraucht. Konkret wurde das Forensik-Tool Velociraptor zweckentfremdet, um innerhalb kompromittierter Umgebungen einen Visual-Studio-Code-Netzwerktunnel aufzubauen. Dieser Tunnel diente anschließend als unauffälliger Kommunikationskanal für die Angreifer. In einigen Fällen endete die Kette mit der finalen Bereitstellung der Warlock-Ransomware.
Die Analyse zeigt, dass Warlock gezielt auf das Prinzip „Living off the Land“ setzt: bestehende, legitime Werkzeuge werden so eingesetzt, dass sie in alltäglichen Betriebsabläufen kaum auffallen.
Fazit: Flexibel, aggressiv und im Aufstieg
GOLD SALEM alias Warlock hat in nur wenigen Monaten gezeigt, wie effektiv eine Mischung aus bekannten Taktiken, Zero-Day-Exploits und dem Missbrauch von Standardsoftware sein kann. Der erstmalige Angriff auf ein russisches Unternehmen weist zudem darauf hin, dass die Gruppe möglicherweise außerhalb traditioneller Einflussbereiche agiert – ein Signal, das in der Szene ungewöhnlich ist.
Die detaillierten technischen Ergebnisse, inklusive Bedrohungsindikatoren und tiefergehender Analyse, sind im englischen Originalblog von Sophos CTU veröffentlicht.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
