Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client.
• Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes.
• L’outil Velociraptor a joué un rôle central dans l’opération, permettant une persistance discrète pendant le déploiement de LockBit et Babuk. Les acteurs ont installé une version obsolète de Velociraptor (0.73.4.0) vulnérable à CVE-2025-6264 (élévation de privilèges), facilitant l’exécution de commandes arbitraires et la prise de contrôle des endpoints.
• Impact clé: encryption massive des VMs ESXi et serveurs Windows, et dégradation sévère de l’environnement IT victime. L’attribution repose sur des éléments opérationnels (note de rançon, utilisation du DLS Warlock), sans autre précision fournie.
TTPs observés:
- Utilisation d’un outil d’IR/DFIR (Velociraptor) pour la persistance furtive 🕵️
- Déploiement multi-ransomwares (Warlock, LockBit, Babuk) pour chiffrer ESXi et Windows
- Exploitation d’une vulnérabilité connue (CVE-2025-6264) dans Velociraptor 0.73.4.0 (élévation de privilèges, exécution de commandes)
- Utilisation d’un Data Leak Site (DLS) associé à Warlock
IOCs:
- Non communiqués dans l’extrait.
Type d’article: rapport d’incident décrivant une intrusion avec abus d’outil légitime, exploitation de vulnérabilité et chiffrement multi-plateforme.
🔗 Source originale : https://blog.talosintelligence.com/velociraptor-leveraged-in-ransomware-attacks/