Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Warlock Fokus Incar Server Sharepoint
  • Ransomware

Warlock Fokus Incar Server Sharepoint

3 min read
Warlock Fokus Incar Server Sharepoint

Credit image: Freepix

Warlock Fokus Incar Server Sharepoint – Para peneliti telah mengungkap bagaimana ransomware Warlock berhasil menyusup ke lingkungan SharePoint yang rentan. Warlock adalah kelompok ransomware yang pertama kali muncul di forum kejahatan siber Rusia, RAMP, pada awal Juni.

Setelah diluncurkan, mereka mengklaim bertanggung jawab atas lebih dari selusin serangan, termasuk terhadap lembaga pemerintah dan organisasi swasta di berbagai negara.

Menurut peneliti, Warlock kemungkinan adalah cabang atau rebrand dari Black Basta. Sebuah unggahan blog mengamati operasi terbaru yang menargetkan server Microsoft SharePoint on-premises yang terekspos.

Bulan lalu, Microsoft mengumumkan serangkaian kelemahan pada server SharePoint on-premises, yaitu:

  • CVE-2025-49706.
  • CVE-2025-49704.
  • CVE-2025-53770.
  • CVE-2025-53771.

Saat itu, Microsoft menyebutkan bahwa aktor ancaman yang didukung Tiongkok, Linen Typhoon, Violet Typhoon, dan Storm-2603, menargetkan kerentanan ini. Namun, mereka lebih menyoroti Storm-2603 yang menggunakan ransomware Warlock.

Kerentanan ini memengaruhi SharePoint Server Subscription, 2016, dan 2019. Microsoft telah menyediakan patch dan menyarankan pengguna yang rentan untuk segera menerapkan pembaruan keamanan yang sesuai. Kerentanan ini tidak memengaruhi SharePoint Online di Microsoft 365.

Baca juga: Ransomware yang Menyamar sebagai ChatGPT

Cara Kerja Operasi SharePoint

Menurut peneliti, Warlock tampaknya merupakan turunan yang disesuaikan dari builder LockBit 3.0 yang bocor. Pada awal Mei, kelompok ransomware LockBit dibobol oleh penyerang tak dikenal, yang membocorkan builder LockBit serta komunikasi internal dan data lainnya.

Pada pertengahan 2025, aktor ancaman Storm-2603 menyebarkan LockBit Black dan Warlock dalam rantai serangan yang sama terhadap lingkungan SharePoint, kata para peneliti. Ini menunjukkan bahwa Warlock dibuat menggunakan kerangka builder yang sama yang telah bocor ke publik pada tahun 2022.

Setelah mendapatkan akses awal melalui kerentanan SharePoint, penyerang selanjutnya meningkatkan hak istimewa dengan membuat Objek Kebijakan Grup (GPO) baru dalam domain, mengaktifkan akun tamu (guest account) bawaan, dan memberinya hak istimewa administrator lokal.

Penyerang kemudian menggunakan Windows Command Shell untuk menjalankan skrip berbahaya dan menyusupkan alat-alat yang diperlukan serta biner ransomware.

Untuk menghindari deteksi, penyerang mengeksekusi biner bernama “Trojan.Win64.KILLLAV.I” untuk mengidentifikasi dan menghentikan proses yang berafiliasi dengan perangkat lunak keamanan.

Penyerang juga menyiapkan saluran command-and-control di dalam lingkungan yang disusupi menggunakan layanan tunneling Cloudflare. Setelah Warlock berhasil masuk, ia melakukan pengintaian ekstensif, termasuk memetakan hubungan domain, mengumpulkan informasi sistem, dan mengidentifikasi konten direktori serta hak istimewa akun.

Ransomware ini menggunakan Mimikatz dan alat lain untuk mencuri kredensial. Untuk menyalin payload dan alat di seluruh mesin, Warlock menggunakan alat jarak jauh seperti Server Message Block (SMB). Terakhir, sebuah catatan ransomware akan ditempatkan di direktori yang terpengaruh.

Baca juga: Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT

Kesimpulan dan Tindakan yang Harus Dilakukan

Para peneliti menyebut Warlock sebagai studi kasus tentang kecepatan dan kedalaman di mana musuh dapat mengkompromikan lingkungan perusahaan yang tidak di-patch.

Kebangkitan cepat Warlock tidak mengejutkan. Dalam beberapa tahun terakhir, eskalasi cepat seperti ini telah menjadi hal yang lumrah bagi kelompok ransomware yang mencoba membangun kredibilitas.

Model ransomware-as-a-service (RaaS) berkembang pesat berdasarkan reputasi, dan kelompok baru sering kali mengejar target-target profil tinggi atau mengeksploitasi kerentanan yang sedang tren untuk mendapatkan visibilitas dan momentum.

Peneliti mendesak pelanggan untuk segera memperbarui server SharePoint on-premises mereka. Mereka juga memberikan rekomendasi yang lebih luas untuk mengatasi ancaman yang ditimbulkan oleh Warlock:

  • Pantau aktivitas akun atau perubahan kebijakan yang mencurigakan.
  • Batasi akses ke shared folders administratif.
  • Segera laporkan eksekusi skrip atau perintah yang tidak normal.
  • Deteksi dan tanggapi upaya untuk menonaktifkan alat keamanan.
  • Pantau terus protocol tunneling, aktivitas command-and-control, dan eksfiltrasi data.

 

 

 

 

Baca artikel lainnya: 

  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Ransomware Qilin Obrak-abrik Fortinet
  • Bahaya Ransomware Play 900 Organisasi Jadi Korban
  • Malware Skitnet Ramai Dipakai Geng Ransomware
  • Momok Ransomware Teratas DragonForce
  • Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
  • Dari Ransomware Sampai ClickFix
  • Ransomware as a Service Medusa
  • Pembasmi Vampir Itu Kini Ransomware
  • Sepak Terjang Ransomware RansomHub

 

 

 

Sumber berita:

 

WeLiveSecurity

Post navigation

Previous Spearphishing Spesifik dan Berbahaya
Next Taktik Canggih Malware VShell

Related Stories

Mengapa UKM Adalah Target Empuk Ransomware Mengapa UKM Adalah Target Empuk Ransomware
5 min read
  • Ransomware
  • Sektor Bisnis

Mengapa UKM Adalah Target Empuk Ransomware

September 22, 2025
Menghadapi Era Baru Serangan Siber dengan ESET Threat Intelligence (ETI) Menghadapi Era Baru Serangan Siber dengan ESET Threat Intelligence (ETI)
5 min read
  • Ransomware
  • Sektor Bisnis
  • Teknologi

Menghadapi Era Baru Serangan Siber dengan ESET Threat Intelligence (ETI)

September 19, 2025
Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.