A Microsoft revelou que um dos agentes de ameaça por trás da exploração ativa de vulnerabilidades no SharePoint está implantando o ransomware Warlock em sistemas alvo. A empresa, em uma atualização divulgada na quarta-feira, afirmou que as descobertas são baseadas em uma “análise expandida e inteligência de ameaças obtidas através do monitoramento contínuo das atividades de exploração realizadas pelo Storm-2603”.
Embora a Microsoft já tenha observado esse agente de ameaça implantando os ransomwares Warlock e LockBit no passado, no momento não é possível avaliar com confiança os objetivos do agente. Desde 18 de julho de 2025, a Microsoft tem observado o Storm-2603 utilizando essas vulnerabilidades para distribuir ransomware.
Após invadirem as redes das vítimas, os operadores do Storm-2603 utilizam a ferramenta de hacking Mimikatz para extrair credenciais em texto claro da memória do LSASS (Local Security Authority Subsystem Service). Em seguida, realizam movimentação lateral com as ferramentas PsExec e Impacket, executam comandos por meio do Windows Management Instrumentation (WMI) e modificam Objetos de Política de Grupo (GPOs) para distribuir o ransomware Warlock em todos os sistemas comprometidos.
Relatório atualizado no site da Microsoft, em inglês, https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
