Threat-Hunting
Sophos Threat-Hunter-Analyse: Neue Ransomware-Gruppe sorgt für Aufsehen
Neue Ransomware-Gruppe mischt die Szene auf
Seit Anfang des Jahres sorgt eine neue Ransomware-Gruppe für Unruhe in der Cybercrime-Szene: Warlock. Die Gruppe kombiniert kreative Ansätze mit klassischen Angriffstechniken und hat es damit schnell in die erste Liga der Ransomware-Bedrohungen geschafft.
Die Sophos Counter Threat Unit™ (CTU) hat die Aktivitäten dieser Gruppe – intern unter dem Namen GOLD SALEM geführt – genauer untersucht. Seit März 2025 greifen die Kriminellen Netzwerke an und setzen dabei ihre eigene Schadsoftware, die Warlock-Ransomware, ein. Betroffen sind sowohl kleine Unternehmen als auch internationale Konzerne.
Opfer weltweit – aber kaum in Russland und China
Bislang hat die Gruppe über 60 Opfer veröffentlicht, ohne dabei ein klares Muster bei den Angriffszielen erkennen zu lassen. Die Spannbreite reicht von kleineren Behörden und Unternehmen bis hin zu global agierenden Konzernen in Nordamerika, Europa und Südamerika. Auffällig ist, dass GOLD SALEM – wie viele Ransomware-Banden – bisher weitgehend darauf verzichtet hat, Ziele in Russland oder China anzugreifen. Eine Ausnahme gab es jedoch am 8. September, als überraschend ein russisches Unternehmen aus der Energiebranche auf der Leak-Seite der Gruppe auftauchte.
Da Russland dafür bekannt ist, Gruppen, die im eigenen Land zuschlagen, kompromisslos zu verfolgen, könnte dieser Schritt darauf hindeuten, dass GOLD SALEM nicht innerhalb dieser Region agiert.
Erste Spuren im Untergrund-Forum
Öffentlich in Erscheinung trat die Gruppe erst im Juni 2025 durch einen Beitrag im berüchtigten RAMP-Forum. Dort suchten Vertreter nach Exploits für gängige Unternehmenssoftware wie Veeam, ESXi oder SharePoint – sowie nach Tools, um Sicherheitslösungen wie Endpoint Detection and Response (EDR) auszuschalten. Kurz darauf folgte ein Aufruf zur Zusammenarbeit mit sogenannten Initial Access Brokern (IABs), die kompromittierte Zugänge zu Unternehmensnetzwerken anbieten. Ob GOLD SALEM eigene Angriffe plante, ein Ransomware-as-a-Service-Modell aufbauen wollte oder beides, ist bislang unklar.
Bekannte Taktiken, clever kombiniert
Ende Juli analysierten die CTU-Forscher einen Vorfall, bei dem GOLD SALEM über die ToolShell-Exploit-Kette Zugriff auf SharePoint-Server erhielt. Dabei nutzte die Gruppe mehrere Schwachstellen (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), um beliebige Befehle auszuführen und dauerhaft Zugang zum System zu behalten. Eingeschleust wurde ein Golang-basierter WebSockets-Server, der den Zugriff auch ohne Web-Shell aufrechterhielt.
Darüber hinaus umging die Gruppe eine EDR-Lösung mithilfe der BYOVD-Technik (Bring Your Own Vulnerable Driver). Konkret setzten sie einen anfälligen Baidu-Antivirus-Treiber (umbenannt in googleApiUtil64.sys) ein, der das Beenden beliebiger Prozesse erlaubt (CVE-2024-51324) – und damit auch den Stopp des EDR-Agenten.
Microsoft berichtete außerdem von weiteren Techniken, darunter der Einsatz von Mimikatz zur Extraktion von Anmeldeinformationen aus dem LSASS-Speicher, sowie der Nutzung von PsExec und Impacket für laterale Bewegungen im Netzwerk. Auch Gruppenrichtlinienobjekte (GPO) kamen zum Einsatz, um die Warlock-Ransomware auszurollen.
Im August konnten die CTU-Forscher beobachten, wie GOLD SALEM das legitime Open-Source-Tool Velociraptor missbrauchte, um über Visual Studio Code einen Netzwerktunnel in kompromittierten Umgebungen einzurichten. Einige dieser Angriffe endeten schließlich mit der Ausführung der Warlock-Ransomware.
