Thought Leadership
Die Ransomware-Gruppe, die sich selbst Warlock Group nennt und von den Sophos-Forschern als GOLD SALEM verfolgt wird, hat sich 2025 mit einer Serie gezielter Angriffe in den Fokus der Sicherheitsforschung gespielt.
Seit März kompromittiert die Gruppe Netzwerke unterschiedlichster Größe und setzt dabei ihre als „Warlock“ bekannte Ransomware ein. Sophos’ Counter Threat Unit (CTU) hat die Aktivitäten analysiert und dokumentiert Muster, Werkzeuge und typische Angriffspfade.
Die bisher bekannten Opfer reichen von kleinen kommerziellen Einrichtungen und einzelnen Behörden bis zu multinationalen Konzernen in Nordamerika, Europa und Südamerika. Auffällig ist, dass die Gruppe — anders als viele andere Akteure — bislang kaum auf Unternehmen in China oder Russland zielte; jüngst tauchte aber ausnahmsweise ein russisches Opfer auf der Leak-Site auf, was darauf hindeutet, dass GOLD SALEM möglicherweise außerhalb dieser Gerichtsbarkeiten operiert.
Taktiken: klassische Mittel, moderne Kombinationen
GOLD SALEM kombiniert klassische Ransomware-Techniken mit hohem Ideenreichtum:
- Initialer Zugriff über bekannte Schwachstellen in Unternehmenssoftware, unter anderem in SharePoint-Umgebungen. Sophos beobachtete Exploit-Ketten, die mehrere Lücken kombinierten, um Fernbefehle auszuführen und Persistenz zu erreichen.
- Nutzung von Golang-Basistechniken und WebSockets-Servern, um unabhängig von Web-Shells anhaltenden Zugriff zu ermöglichen.
- Späterer Einsatz typischer Tools für Credentials und Laterale Bewegung wie Mimikatz, PsExec und Impacket, sowie die Verteilung von Nutzlasten per Gruppenrichtlinie.
EDR-Umgehung und Missbrauch legitimer Tools
Besonders problematisch ist die Fähigkeit der Gruppe, Sicherheitsmechanismen zu umgehen. Sophos dokumentiert den Missbrauch der BYOVD-Technik (Bring Your Own Vulnerable Driver), wobei ein anfälliger Treiber genutzt wurde, um EDR-Agenten zu stoppen. Außerdem beobachteten die Forscher den Ab- oder Missbrauch von gutartigen Open-Source-Tools wie Velociraptor, um Netzwerktunnel und DFIR-Funktionen für persistente Aktivitäten innerhalb kompromittierter Umgebungen zu etablieren.
Beobachtungen aus einschlägigen Foren zeigen, dass GOLD SALEM frühere Monate damit verbrachte, Exploits, Tools zur Abschaltung von Sicherheitsprodukten und Zugangsmöglichkeiten (Initial Access) zu diskutieren. Ob die Gruppe eigenständig Zugriff besorgt, mit Initial-Access-Brokern kooperiert oder ein RaaS-Modell (Ransomware-as-a-Service) verfolgt, bleibt teilweise offen — die Beiträge deuten jedoch auf eine aktive Einbindung in das kriminelle Ökosystem hin.
Folgen und praktische Schutzansätze
Die Kombination aus schnellen Exploits, persistenter Zugriffsschaffung und EDR-Umgehung erhöht das Risiko schwerer Vorfälle: in manchen Fällen kann Ransomware sehr schnell zur Verschlüsselung ganzer Systeme führen. Als Orientierung für Unternehmen lassen sich aus den Beobachtungen der Sophos-Forscher folgende Handlungsfelder ableiten:
- zeitnahe Patch- und Vulnerability-Management-Prozesse für kritische Server (z. B. Collaboration- und Backup-Software)
- Härtung von Remote-Zugängen und strikte Kontenttrennung für Administrationsrechte
- Erkennung ungewöhnlicher Toolnutzung und Telemetrie-Baselines für das Verhalten von Aufklärungs- und DFIR-Tools
- spezielle Kontrollen gegen Treiber-Missbrauch und Mechanismen zur Sicherung von EDR-Agenten
- regelmäßige Backups und getestete Wiederherstellungsprozesse, gekoppelt mit Incident-Response-Plänen
Quellenangabe
Die Analyse stammt aus Untersuchungen der Sophos Counter Threat Unit (CTU); ergänzende Beobachtungen wurden auch von anderen Sicherheitsanbietern dokumentiert.
