Credit image: Freepix
Warlock Fokus Incar Server Sharepoint – Para peneliti telah mengungkap bagaimana ransomware Warlock berhasil menyusup ke lingkungan SharePoint yang rentan. Warlock adalah kelompok ransomware yang pertama kali muncul di forum kejahatan siber Rusia, RAMP, pada awal Juni.
Setelah diluncurkan, mereka mengklaim bertanggung jawab atas lebih dari selusin serangan, termasuk terhadap lembaga pemerintah dan organisasi swasta di berbagai negara.
Menurut peneliti, Warlock kemungkinan adalah cabang atau rebrand dari Black Basta. Sebuah unggahan blog mengamati operasi terbaru yang menargetkan server Microsoft SharePoint on-premises yang terekspos.
Bulan lalu, Microsoft mengumumkan serangkaian kelemahan pada server SharePoint on-premises, yaitu:
- CVE-2025-49706.
- CVE-2025-49704.
- CVE-2025-53770.
- CVE-2025-53771.
Saat itu, Microsoft menyebutkan bahwa aktor ancaman yang didukung Tiongkok, Linen Typhoon, Violet Typhoon, dan Storm-2603, menargetkan kerentanan ini. Namun, mereka lebih menyoroti Storm-2603 yang menggunakan ransomware Warlock.
Kerentanan ini memengaruhi SharePoint Server Subscription, 2016, dan 2019. Microsoft telah menyediakan patch dan menyarankan pengguna yang rentan untuk segera menerapkan pembaruan keamanan yang sesuai. Kerentanan ini tidak memengaruhi SharePoint Online di Microsoft 365.
|
Baca juga: Ransomware yang Menyamar sebagai ChatGPT |
Cara Kerja Operasi SharePoint
Menurut peneliti, Warlock tampaknya merupakan turunan yang disesuaikan dari builder LockBit 3.0 yang bocor. Pada awal Mei, kelompok ransomware LockBit dibobol oleh penyerang tak dikenal, yang membocorkan builder LockBit serta komunikasi internal dan data lainnya.
Pada pertengahan 2025, aktor ancaman Storm-2603 menyebarkan LockBit Black dan Warlock dalam rantai serangan yang sama terhadap lingkungan SharePoint, kata para peneliti. Ini menunjukkan bahwa Warlock dibuat menggunakan kerangka builder yang sama yang telah bocor ke publik pada tahun 2022.
Setelah mendapatkan akses awal melalui kerentanan SharePoint, penyerang selanjutnya meningkatkan hak istimewa dengan membuat Objek Kebijakan Grup (GPO) baru dalam domain, mengaktifkan akun tamu (guest account) bawaan, dan memberinya hak istimewa administrator lokal.
Penyerang kemudian menggunakan Windows Command Shell untuk menjalankan skrip berbahaya dan menyusupkan alat-alat yang diperlukan serta biner ransomware.
Untuk menghindari deteksi, penyerang mengeksekusi biner bernama “Trojan.Win64.KILLLAV.I” untuk mengidentifikasi dan menghentikan proses yang berafiliasi dengan perangkat lunak keamanan.
Penyerang juga menyiapkan saluran command-and-control di dalam lingkungan yang disusupi menggunakan layanan tunneling Cloudflare. Setelah Warlock berhasil masuk, ia melakukan pengintaian ekstensif, termasuk memetakan hubungan domain, mengumpulkan informasi sistem, dan mengidentifikasi konten direktori serta hak istimewa akun.
Ransomware ini menggunakan Mimikatz dan alat lain untuk mencuri kredensial. Untuk menyalin payload dan alat di seluruh mesin, Warlock menggunakan alat jarak jauh seperti Server Message Block (SMB). Terakhir, sebuah catatan ransomware akan ditempatkan di direktori yang terpengaruh.
|
Baca juga: Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT |
Kesimpulan dan Tindakan yang Harus Dilakukan
Para peneliti menyebut Warlock sebagai studi kasus tentang kecepatan dan kedalaman di mana musuh dapat mengkompromikan lingkungan perusahaan yang tidak di-patch.
Kebangkitan cepat Warlock tidak mengejutkan. Dalam beberapa tahun terakhir, eskalasi cepat seperti ini telah menjadi hal yang lumrah bagi kelompok ransomware yang mencoba membangun kredibilitas.
Model ransomware-as-a-service (RaaS) berkembang pesat berdasarkan reputasi, dan kelompok baru sering kali mengejar target-target profil tinggi atau mengeksploitasi kerentanan yang sedang tren untuk mendapatkan visibilitas dan momentum.
Peneliti mendesak pelanggan untuk segera memperbarui server SharePoint on-premises mereka. Mereka juga memberikan rekomendasi yang lebih luas untuk mengatasi ancaman yang ditimbulkan oleh Warlock:
- Pantau aktivitas akun atau perubahan kebijakan yang mencurigakan.
- Batasi akses ke shared folders administratif.
- Segera laporkan eksekusi skrip atau perintah yang tidak normal.
- Deteksi dan tanggapi upaya untuk menonaktifkan alat keamanan.
- Pantau terus protocol tunneling, aktivitas command-and-control, dan eksfiltrasi data.
Sumber berita:
