Některé kybernetické kampaně se dají přežít, jiné vás rozloží do posledního bajtu. Kampaň Storm-2603 a její destruktivní nástroj Warlock (alias x2anylock) patří k těm druhým. Nejde o obyčejný ransomware. Tohle je ukázka, co se stane, když se nulové denní zranitelnosti, špionážní know-how a zločinecký byznys model spojí do jednoho balíčku.
Kdo tahá za nitky? Storm-2603 a čínské stopy
Za celou operací stojí skupina označovaná jako Storm-2603, v některých kruzích známá i jako GOLD SALEM nebo CL-CRI-1040. Microsoft jejich aktivitu spojuje s Čínou, a to hlavně kvůli používané infrastruktuře, způsobu vývoje exploitů a cílení na vládní instituce.
Na rozdíl od klasických APT skupin tu ale nejde „jen“ o špionáž. Storm-2603 se neštítí spolupráce s undergroundovými hackery, sdílí ransomwarové nástroje přes RaaS model a nebojí se destruktivního útoku na kritickou infrastrukturu.
SharePoint jako Achillova pata
Všechno začalo (jak už to bývá) jednou bezpečnostní chybou. V tomto případě šlo o CVE-2025-53770 – kritickou zranitelnost v Microsoft SharePoint Serveru, která útočníkům umožňuje spustit kód přímo v paměti serveru. Kombinací s další slabinou (CVE-2025-53771) pak útočníci snadno obešli autentizaci a dostali se k administraci serveru.
Přístup byl rychlý, čistý a bez potřeby interakce uživatele. Ideální scénář pro útočníka, noční můra pro admina.
Jak se dostanou dovnitř a proč jim nestačí záplaty
Když se útok povede, Storm-2603 hned nasazuje web shell (např. spinstall0.aspx) a exfiltruje MachineKey z ASP.NET konfigurace. S těmito klíči mohou útočníci generovat validní ViewState objekty a vracet se do systému i poté, co správce všechno „vyčistí“.
To je ten moment, kdy si většina firem uvědomí, že pouhá instalace záplat nestačí. A právě tady je prostor pro další obranné vrstvy – VPNky, segmentaci sítě, pravidelný monitoring a obnovu klíčů.
Warlock ransomware: Rychlost, destrukce a dvojí výpalné
Samotný ransomware Warlock (interně označovaný jako x2anylock) funguje v duchu moderních trendů. Nepotřebuje šifrovat celé soubory – stačí kousky. Používá intermittent encryption, kombinaci AES-256 a RSA-2048/4096 a šifrování zvládne klidně během hodiny od vstupu do sítě.
Změněné soubory dostávají příponu .x2anylock, operační systém ale zůstává funkční, aby si oběť mohla přečíst návod k zaplacení.
A že to nebude levné? Průměrné výkupné u vládních organizací v roce 2025 překročilo 2,4 milionu dolarů.
Dvojitý útok: Exfiltrace před šifrováním
Warlock ransomware není jen o uzamčení dat. Ještě předtím, než se spustí destrukce, se data exfiltrují pomocí nástroje RClone (často přejmenovaného na „TrendSecurity.exe“) směrem k Proton Drive nebo do sítě Tor. A pokud se oběť rozhodne neplatit? Data skončí na útočníkově leak site.
Tohle je model dvojitého vydírání – nejdřív zablokujeme, pak vyhrožujeme zveřejněním.
Jak zničit infrastrukturu během pár minut?
Storm-2603 ví, že obranu je potřeba zničit dřív, než se stihne vůbec bránit.
- BYOVD (Bring Your Own Vulnerable Driver): Nahrají zranitelný ovladač, který obejde kernel ochrany a umožní zabití antiviru.
- Ovládnutí domény přes GPO: Vytvoří Group Policy Object, který aktivuje účet Guest na všech stanicích s právy administrátora.
- Mazání stínových kopií: Žádné obnovení přes VSS. Vše jde přes COM rozhraní a tiše.
Nezůstali jen u serverů. Přichází ClayRat
Na mobilní frontě nasadili spyware ClayRat, který útočí hlavně na Android. Šíří se přes SMS nebo Telegram a maskuje se jako aktualizace aplikací TikTok nebo YouTube.
Jakmile je uvnitř:
- čte SMS zprávy (včetně MFA kódů),
- krade kontakty a hovory,
- fotí kamerou,
- a sám se dál šíří přes zprávy oběti.
Falešné mobilní aplikace pro iOS a Android navíc zneužívají OAuth tokeny, aby stáhly data z pracovních účtů.
Zajištění bezpečnosti? Nestačí záplaty, je třeba obrana v hloubce
Tady je praktický checklist:
1. Záplatujte, ale opravdu důkladně
- SharePoint 2016: KB5002760 a KB5002759
- SharePoint 2019: KB5002754 a KB5002753
- Subscription Edition: KB5002768
A hlavně – po záplatování udělejte rotaci MachineKey!
Set-SPMachineKey -WebApplication <VašeAplikace>
Update-SPMachineKey -WebApplication <VašeAplikace>
iisreset.exe
2. Sledujte aktivitu, hledejte stopy
- Podezřelé web shelly v adresářích SharePointu
- GPO s názvy jako
*-TakeOver - DNS dotazy na
update.micfosoft[.]com
3. Chraňte vzdálený přístup a mobilní zařízení
Zvažte používání firemní VPN i pro přístup k interním službám z vnitřní sítě. Dobrý VPN klient (např. NordVPN, Surfshark nebo ExpressVPN) může být napojený na IDS/IPS systém, vynucovat přístup jen z definovaných IP rozsahů a v kombinaci s MFA ochránit i před krádeží přihlašovacích údajů.
VPN se zároveň hodí i pro správu serverů na dálku přes bezpečné tunely (SSH, RDP), které nejsou přímo vystavené internetu.
4. Blokujte neznámé aplikace a sledujte síť
- Zakažte instalaci aplikací mimo oficiální store
- Aktivně monitorujte přístup na úložiště typu Proton Drive, Mega.nz nebo veřejné IP adresy v síti Tor
Závěr: Co si z toho odnést?
Storm-2603 a Warlock ransomware jsou důkazem, že v roce 2026 už nestačí být „opatchovaný“. Dnešní útoky cílí hluboko – na architekturu aplikací, kryptografii, doménové politiky a dokonce i na telefon v kapse. Kdo není připraven, zaplatí.
Pokud máte SharePoint, expose do internetu, neměněné MachineKey a žádný monitoring DNS provozu, jste ideálním cílem.
Zvažte investici do vícestupňové obrany – kvalitní VPN, segmentace, aktualizace, rotace klíčů a monitoring. Protože když přijde Warlock, čas nehraje pro vás. A hodina někdy opravdu stačí.
Doporučené nástroje pro ochranu
| Nástroj | Použití | Doporučení |
|---|---|---|
| NordVPN | Zabezpečení přístupu k serverům, IP whitelisting, ochrana WiFi admin přístupů | Ideální pro IT týmy |
| Surfshark | Ochrana mobilních zařízení, CleanWeb proti phishingu | Vhodné pro zaměstnance na cestách |
| ExpressVPN | Správa více lokací a dynamická IP změna | Skvělý pro rozptýlené týmy a vzdálený přístup |
Vaše komentáře
Zatím nejsou žádné komentáře… Buďte první, kdo ho napíše.
Přispějte svým komentářem
