تعرضت الآن منظمات متعددة من قبل Warlock Ransomware التي تم نشرها على أنظمتها عبر سلسلة ثغرة الأدوات الخطرة في Microsoft SharePoint Server، كشفت Microsoft.
في وقت سابق من هذا الأسبوعوقالت Microsoft إن الممثلين المعروفين للتهديدات الصينية ، إعصار الكتان والبنفسجي ، من بين أولئك الذين يستغلون نقاط الضعف الأمنية – CVE-2025-53770، الذي يتجاوز عيب تنفيذ الرمز البعيد (RCE) CVE-2025-49704، و CVE-2025-53771، الذي يتجاوز عيب خداع ، CVE-2025-49706.
كما أن هذا يعزى مبدئيًا إلى بعض النشاط إلى ممثل تهديد غير مصنف ، Storm-2603 ، مشيرًا إلى أن هذه المجموعة قد أظهرت بعض العلاقات مع عصابات الفدية مثل Lockbit في الماضي.
بعد أن صعد رابطًا إلى Warlock ، لدى Microsoft الآن المعلومات المحدثة عند الإسناد ، ومؤشرات التسوية (IOCs) ، وتوجيهات التخفيف والحماية ، والاكتشاف وصيد التهديد.
اعتبارًا من 23 يوليو ، تشير البيانات التي يتم الحصول عليها من مؤسسة Shadowserver إلى ما يقرب من 600 حالة من حالات SharePoint على شبكة الإنترنت في المملكة المتحدة – الرقم العالمي أقرب إلى 11000.
في جميع أنحاء العالم ، قالت المنظمة عن ذلك بقي 424 من المجموع عرضة للخطر إلى CVE-2025-53770 و CVE-2025-53771 اعتبارًا من 23 يوليو. تقع حوالي ربع هذه الحالات في الولايات المتحدة.
في بيان ، المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) قال: “يدرك Microsoft و NCSC أن استغلالًا لهذه الثغرة الأمنية موجود في البرية ولاحظوا هجمات نشطة تستهدف عملاء خادم SharePoint ، بما في ذلك عدد محدود في المملكة المتحدة.”
في وقت كتابة هذا التقرير ، لم يتم تسمية أي ضحايا من فرقة الأدوات في المملكة المتحدة. في الولايات المتحدة ، وفقا لبلومبرج – التي استشهدت بمصادر مطلعة على الحادث – الإدارة الوطنية للأمن النووي (NNSA) من بين أولئك الذين سقطوا ضحية.
تتمثل المهمة الأساسية لـ NNSA في ضمان الصيانة والإدارة الآمنة للأسلحة النووية الأمريكية.
أكدت وزارة الطاقة ، التي تقع في نهاية المطاف داخلها ، تم وصف NNSA بأنه “تأثر الحد الأدنى” بالهجوم.
وقالت الوكالة إن الهيئات الفيدرالية والولائية الأمريكية الأخرى ، والحكومات في أوروبا والشرق الأوسط ، قد تأثرت على الأرجح ، في حين واشنطن بوست أضاف المعهد الوطني للصحة (NIH) إلى القائمة.
ترك مستخدمو SharePoint مكشوفًا تمامًا
كيفن روبرتسون ، كبير مسؤولي التكنولوجيا في أخصائي الكشف والاستجابة المدارة (MDR) فطنة الإنترنت، قال فشل التصحيحات الأولى لـ CVE-2025-49704 و CVE-2025-29706 لمعالجة القضايا السابقة بشكل كامل-كلاهما موجهة في رقعة يوليو 2025 يوم الثلاثاء – ترك المنظمات مكشوفة تماما.
وقال روبرتسون: “إن المهاجمين الذين يلجأون إلى رانسومواني يستفيدون بوضوح من CVE 2025-53770 للوصول إلى مزيد من الوصول إلى البيئات ، وتشفير المعلومات الحساسة ، قبل تنفيذ برنامج Ransomware على أمل الحصول على راتب كبير”.
“هذا يسلط الضوء على أنه ليس فقط ممثلي التهديدات التي ترعاها الدولة تستفيد من هذه الضعف الخطير. المهاجمين الذين يحفزون المال يقفزون أيضًا على العربة.”
ومع ذلك ، فإن بعض المهاجمين الذين ترعاهم الدولة سيستخدمون أيضًا فدية. يمكن أن يقوموا بإجراء الاستطلاع على الشبكات ، وبعد ذلك ، عندما يكون لديهم ما يحتاجون إليه ، وإسقاط الفدية للتسبب في مزيد من الفوضى للضحايا.
وأضاف: “على الرغم من أن لدينا الآن بيانات تقول إن 400 ضحية قد تعرضوا للخطر ، فقد يكون هذا انخفاضًا في المحيط مقارنة بالواقع. علاوة على ذلك ، لن تتمكن جميع المنظمات من تطبيق التصحيح حتى الآن ، مما يعني أن بيئتها لا تزال مفتوحة على مصراعيها”.
