英国网络服务公司Colt正在努力恢复多项客户服务系统，此前其遭受了一起勒索软件攻击，攻击者为Warlock勒索软件团体，可能源于SharePoint的安全漏洞。该事件最初被认为是技术问题，于2025年8月12日周二上午11点左右开始，当时客户开始报告服务中断。

在2025年8月14日下午，Colt公司确认其正在处理一起网络事件，主要影响了Colt在线支持服务和语音API平台。Colt发言人表示：“我们最近在一个内部系统上发现了网络事件。该系统与我们的客户基础设施是分开的。我们立即采取了保护措施，以确保客户、同事和商业的安全，并主动通知了相关当局。我们的保护措施之一是故意将某些系统下线，这导致我们提供的一些支持服务受到干扰。”

在8月15日的更新中，Colt表示，团队正在全力以赴恢复受影响系统的访问。公司对此次服务中断表示歉意，并感谢客户的理解，他们建议客户通过电子邮件或电话与其联系，但需注意可能会有响应延迟。

根据网络新闻网站Bleeping Computer的报道，此次针对Colt的网络攻击很快被Warlock勒索团体宣称负责。该团体在其暗网泄露网站上发布了其入侵的细节。一名使用化名“cnkjasdfgd”的黑客声称已盗取了超过一百万份文件，这些文件包含客户、员工和财务数据以及Colt网络架构和软件开发的信息。该团体据称正在以20万美元（约14.75万英镑）的价格出售这些信息，若属实可能表明其试图勒索Colt的行为遭到拒绝。该信息尚未得到确认。

网络威胁研究员Kevin Beaumont在社交媒体平台Mastodon上指出，Colt可能是通过Microsoft SharePoint Server的安全功能绕过漏洞遭到了攻击。相关漏洞CVE-2025-53770绕过了此前已修补的远程代码执行（RCE）漏洞的修复，并在7月得到了紧急修复。该漏洞可使攻击者从未打补丁的SharePoint服务器中盗取加密密钥，这些密钥随后可用于创建恶意请求，以实现RCE。

除了CVE-2025-53770以外，CVE-2025-53771漏洞也成为了名为ToolShell的攻击链的一部分。微软及其他相关人员迅速识别出ToolShell被中国国家支持的威胁行为者所利用，同时也警告说Warlock活动团体也在暗中进行侦测。Colt的发言人告诉Computer Weekly：“我们了解网络事件相关声明。我们目前正在调查这些声明。我们的技术团队正致力于恢复受影响的内部系统，并与第三方网络安全专家密切合作。我们对客户在我们努力解决受影响的内部系统期间所给予的理解表示感谢。”

Warlock这一新兴的勒索软件团体于2023年6月首次亮相，在一个俄语网络犯罪论坛发布了“如果你想要一辆兰博基尼，请致电我”的广告。根据Halcyon的研究，Warlock采用了封闭的合作伙伴式商业模式，似乎与任何早期品牌没有明显关联，推翻了之前关于其与LockBit之间的联系的建议。

尽管如此，Warlock通过对SharePoint的利用，可能与一个被称为Storm-2603的中国威胁行为者有关，因为其使用了ToolShell链。迄今为止，Warlock已与大约11起网络攻击有关，并声称在政府、金融、制造业和技术等多个行业进行了另19次攻击。

此事件的更新原文发表于2025年8月15日19:10 BST，内容包括Colt公司的响应。最近，英国政府正在采取强有力的措施，计划禁止某些组织支付勒索，可能会改变欧洲对勒索软件的广泛响应。

US authorities reveal how over a million dollars’ worth of cryptocurrency assets laundered by the BlackSuit ransomware gang were seized ahead of a July takedown operation. Microsoft’s security analysts confirm a number of cyber attacks on on-premise SharePoint Server users involve ransomware. 通过对SharePoint的攻击，Warlock勒索软件团体的影响力逐渐显露出来，未来的网络安全形势将如何发展，值得持续关注。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！