Ransomware : comment Warlock a exploité les dernières vulnérabilités SharePoint

C’est le 10 juin dernier que l’enseigne Warlock fait ses premiers pas publics, sur le forum RAMP, notamment fréquenté par les cybercriminels : « si vous voulez une Lamborghini, contactez-moi », lançait alors l’opérateur de la franchise.

Fin juillet, Microsoft alertait : les vulnérabilités CVE-2025-53770 et CVE-2025-53771 affectant SharePoint Server n’étaient plus seulement exploitées par des acteurs liés à des États-Nations, mais également par des cybercriminels déployant, notamment, le rançongiciel de Warlock.

La matière ne leur manquait pas : selon les constatations d’Onyphe.io, près de 140 instances SharePoint Server avaient déjà été compromises à travers le monde le 22 juillet, sur plus de 11 000 exposées sur Internet.

Dès lors, l’enseigne Warlock a commencé à égrainer les victimes, et pas des moindres. Parmi elles, on compte notamment Orance, Colt, ou encore Infoniqa. Selon Ransomware.live, elles sont 49, à date, à avoir été revendiquées. Un compteur interne à l’API de la vitrine de Warlock suggère qu’elles sont nombreuses – au moins 57, potentiellement.

Les données d’une des victimes déjà divulguées suggèrent un vol survenu mi-juillet. Orange a dit avoir été attaqué le 25 juillet, contre le 12 août pour Colt et le 4 août pour Infoniqa.

Orange a déclaré avoir constaté que la cyberattaque a permis à des criminels d'accéder aux données de 850 000 clients en Belgique. L'opérateur a affirmé qu'aucun identifiant, adresse e-mail ou détail bancaire ou financier n'avait été compromis, mais que des informations telles que les noms, numéros de téléphone et de carte SIM, données relatives aux forfaits et codes PUK (Personal Unlocking Key) l'avaient été.

Colt, quant à lui, continue de faire face aux conséquences de l'attaque de Warlock alors que l'enquête se poursuit. L'organisation a confirmé avoir constaté le vol de certaines données clients et a déclaré que sa priorité actuelle était de déterminer la nature exacte de ces données.

Selon Trend Micro, les affidés de Warlock ont exploité les vulnérabilités SharePoint dites « ToolShell » pour établir leur accès initial. Ce n’est bien sûr qu’un début, suivi de l’élévation de privilèges et le transfert du compte invité au groupe des administrateurs locaux. Ils utilisent en outre un pilote dédié pour désactiver les outils de protection et détection présents sur les systèmes compromis. Une pratique loin d’être isolée.

Selon l’éditeur, les assaillants ont également parfois utilisé le ransomware de LockBit, ou encore exploité la vulnérabilité CVE-2023-27352 de Veeam.

Trend Micro ne développe pas son propos mais évoque des « liens potentiels avec Black Basta, un groupe prolifique spécialisé dans les ransomwares qui a cessé de publier la liste de ses victimes début 2025. Bien que ces liens restent à confirmer, les similitudes dans les tactiques, les styles de négociation et la victimologie suggèrent qu'il pourrait s'agir d'une ramification ou d'un changement de nom ».