Киберпреступные группировки, занимающиеся вирусами-вымогателями, стремительно адаптируют тактику, подвергая организации по всему миру всё более изощрённым атакам. Как сообщают эксперты по безопасности, недавняя волна атак была инициирована группировкой Warlock, которая активно эксплуатирует критические уязвимости в незащищённых локальных серверах Microsoft SharePoint, доступных в интернете.

Данный вектор атаки, также замеченный у других группировок позволяет злоумышленникам получать первоначальный доступ к корпоративным сетям, обходя аутентификацию и осуществляя удалённое выполнение кода (RCE). Это открывает путь для скрытного перемещения по сети и развёртывания разрушительной полезной нагрузки.

Warlock, впервые заявившая о себе на хакерском форуме RAMP в июне 2025 года, быстро превратилась в глобальную угрозу. Группировка уже заявила о десятках успешных атак на государственные учреждения в Португалии, Хорватии и Турции, а также на компании финансового и производственного секторов в Северной Америке, Европе и Азии.

Многоэтапные характерские атаки, начинающиеся с уязвимого SharePoint и ведущие к шифрованию данных и их краже, демонстрируют необходимость для организаций срочно применять заплатки и усиливать мониторинг общедоступных серверов.