Threat Intelligence

Warlock

Warlock kombinierte einen SharePoint-Zero-Day-Angriff („ToolShell“) mit geleakter LockBit-Technik – und erpresst auch deutsche und österreichische Unternehmen.

Kurz erklärt

Warlock (GOLD SALEM / Storm-2603) ist eine seit 2025 aktive, finanziell motivierte Gruppe mit China-Bezug (mittlere Konfidenz). Bekannt wurde sie durch die massenhafte Ausnutzung der SharePoint-„ToolShell“-Zero-Days im Juli 2025. Sie nutzt geleakte LockBit-3.0- und Babuk-Technik und hat auch DACH-Opfer.

Aktiv

Modell

Überwiegend geschlossene Datenerpressung + Verschlüsselung (mit Affiliate-Signalen)

Auch bekannt als

GOLD SALEM (Secureworks/Sophos), Storm-2603 (Microsoft); Ransomware X2anylock / „AK47“

Gegründet

~März 2025 (öffentlich Juni 2025)

Entstanden aus

Kein Rebrand; Builder-Reuse (geleakter LockBit-3.0-Builder + Babuk-Variante)

Herkunft

China-Bezug (Microsoft, mittlere Konfidenz); finanziell motiviert

Zielsektoren

Technologie, Behörden, Finanzwesen, Fertigung, Bau, kritische Infrastruktur

Zielregionen

Global (34+ Länder); DACH: Deutschland (Via Optronics), Österreich (Infoniqa)

Typisches Lösegeld

unbekannt; 12–14 Tage Zahlungsfrist

Opferzahl

~78 Opfer (Nov. 2025); Sample-Ablauflogik bis Sep. 2026

File Extensions

.x2anylock (auch .xlockxlock), .babyk (Babuk-Variante), LockBit-Endungen

Ransom Note

How to decrypt my data.txt (auch .log)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • On-Prem-SharePoint sofort patchen und MachineKey rotieren – Warlocks Haupteinstieg; GPO-Verteilung prüfen.
  • Backups sofort prüfen und offline sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie für Entschlüsselung oder Nicht-Veröffentlichung; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Exponierte SharePoint-/Edge-Server nicht ungepatcht lassen; Treiber-Manipulation (BYOVD) einkalkulieren.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Keine dubiosen „Entschlüsselungs-Tools“ aus dem Netz einsetzen.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • SharePoint-„ToolShell“-Kampagne (Juli 2025, Ransomware-Deploy ab 18. Juli)
  • Regierungswelle Juni 2025 (Portugal, Kroatien, Türkei)
  • DACH: Via Optronics (DE), Infoniqa (AT)

Angriffstechniken (TTPs)

  • Initial Access: Exploit öffentlicher Anwendungen – v. a. SharePoint-„ToolShell“-Kette; Web-Shell spinstall0.aspx über /_layouts/15/ToolPane.aspx; auch SmarterMail-Zero-Day.
    • CVE-2025-49706 / -49704 / -53770 (CVSS 9.8) / -53771
    • MITRE: T1190, T1505.003, T1484.001 (GPO), T1003.001, T1486
  • Vorgehen: BYOVD „Antivirus Terminator“ (ServiceMouse.sys), eigenes C2-Framework ak47c2 (ak47http/ak47dns), GPO-Ransomware-Verteilung, Mimikatz.

Technologie & Malware

Encryptor: aus geleaktem LockBit-3.0-Builder (vermutlich C++); AES-256 + RSA-2048.

Plattformen: Windows, Linux, VMware ESXi.

C2: eigenes ak47c2 (HTTP + DNS-Tunneling, XOR-Key VHBD@H).

Indicators of Compromise (IOCs)

  • Endungen: .x2anylock / .xlockxlock / .babyk
  • Ransom Note: How to decrypt my data.txt / .log
  • Web-Shell: spinstall0.aspx (ToolShell); C2 ak47c2/ak47dns; Treiber ServiceMouse.sys
  • Ausgenutzte CVEs: CVE-2025-53770, -49704, -49706, -53771

Was Unternehmen jetzt prüfen sollten

  • On-Prem-SharePoint patchen (ToolShell-CVEs) und MachineKey rotieren
  • GPO-Änderungen überwachen (Ransomware-Verteilung)
  • EDR-Manipulationsschutz gegen BYOVD
  • Offline-Backups

Wie Argos unterstützt

Angriffsflächen-/Schwachstellen-Management schließt SharePoint-/Edge-Lücken; verhaltensbasierte 24/7-Erkennung im Cyber Defense Center fängt Web-Shells und GPO-Verteilung.