Atores de ameaças com vínculos com a família de ransomware Play exploraram uma falha de segurança recentemente corrigida no Microsoft Windows como um zero-day como parte de um ataque direcionado a uma organização não nomeada nos Estados Unidos.
O ataque, segundo a Symantec Threat Hunter Team, parte da Broadcom, explorou o
CVE-2025-29824
, uma falha de escalada de privilégio no driver do Common Log File System (CLFS).
Ela foi corrigida pela Microsoft no mês passado.
Play, também conhecido como Balloonfly e PlayCrypt, é conhecido por suas táticas de dupla extorsão, em que dados sensíveis são exfiltrados antes da criptografia em troca de um resgate.
Está ativo desde pelo menos meados de 2022.
Na atividade observada pela Symantec, os atores de ameaças teriam provavelmente explorado um Cisco Adaptive Security Appliance (ASA) com interface pública como ponto de entrada, aproveitando-se de um método ainda não determinado para se mover para outra máquina Windows na rede alvo.
O ataque é notável pelo uso do Grixba, um ladrão de informações sob medida previamente atribuído ao Play e um exploit para o
CVE-2025-29824
que é soltado na pasta Música, recebendo nomes que se disfarçam como software da Palo Alto Networks (por exemplo, "paloaltoconfig.exe" e "paloaltoconfig.dll").
Os atores de ameaças também foram observados executando comandos para reunir informações sobre todas as máquinas disponíveis no Active Directory das vítimas e salvar os resultados em um arquivo CSV.
"Durante a execução do exploit, dois arquivos são criados no caminho C:\ProgramData\SkyPDF," a Symantec explicou.
O primeiro arquivo, PDUDrv.blf, é um arquivo de log base do Common Log File System e é um artefato criado durante a exploração. O segundo arquivo, clssrv.inf, é uma DLL que é injetada no processo winlogon.exe.
Esta DLL tem a capacidade de soltar dois arquivos batch adicionais." Um dos arquivos batch, chamado "servtask.bat," é usado para escalar privilégios, despejar as hives do Registro SAM, SYSTEM e SECURITY, criar um novo usuário chamado "LocalSvc" e adicioná-lo ao grupo de Administrador.
O outro arquivo batch, "cmdpostfix.bat," é usado para limpar vestígios da exploração.
A Symantec disse que nenhum payload de ransomware foi implantado na intrusão.
As descobertas mostram que exploits para o
CVE-2025-29824
podem ter estado disponíveis para múltiplos atores de ameaças antes de ser corrigido pela Microsoft.
Vale notar que a natureza da exploração detalhada pela empresa de cibersegurança não se sobrepõe com outro cluster de atividade chamado Storm-2460 que a Microsoft divulgou como tendo armado a falha em um conjunto limitado de ataques para entregar um trojan apelidado de PipeMagic.
A exploração do
CVE-2025-29824
também aponta para a tendência de atores de ransomware usando zero-days para infiltrar alvos.
No ano passado, a Symantec revelou que o grupo Black Basta pode ter se aproveitado do
CVE-2024-26169
, uma falha de escalada de privilégio no Windows Error Reporting Service, como um zero-day.
Um Novo Bypass do EDR "Bring Your Own Installer" Usado no Ataque de Ransomware Babuk A revelação vem como o serviço de Resposta a Incidentes da Aon, Stroz Friedberg, detalhou uma técnica de bypass local chamada Bring Your Own Installer que está sendo explorada por atores de ameaças para desativar softwares de segurança de endpoints e implantar o ransomware Babuk.
O ataque, segundo a empresa, direcionou o sistema de Detecção e Resposta de Endpoint (EDR) da SentinelOne, explorando uma falha no processo de atualização/rebaixamento do agente da SentinelOne depois de ter obtido acesso administrativo local em um servidor acessível publicamente.
"Bring Your Own Installer é uma técnica que pode ser usada por atores de ameaças para bypassar a proteção de EDR em um host através da terminação cronometrada do processo de atualização do agente quando inadequadamente configurada," disseram os pesquisadores da Aon, John Ailes e Tim Mashni.
A abordagem é notável porque não depende de drivers vulneráveis ou outros ferramentas para desarmar softwares de segurança.
Em vez disso, explora uma janela de tempo no processo de atualização do agente para terminar agentes de EDR em execução, deixando dispositivos desprotegidos.
Especificamente, abusa do fato de instalar uma versão diferente do software usando um arquivo MSI faz com que termine processos do Windows já em execução antes da atualização ser realizada.
O ataque Bring Your Own Installer essencialmente envolve executar um instalador legítimo e forçar a terminação do processo de instalação emitindo um comando "taskkill" após ele desligar os serviços em execução.
"Como os processos antigos da SentinelOne foram terminados durante a atualização, e os novos processos foram interrompidos antes de serem iniciados, o resultado final foi um sistema sem a proteção da SentinelOne," disseram os pesquisadores da Aon.
A SentinelOne, que disse que a técnica poderia ser aplicada contra outros produtos de proteção de endpoint, desde então lançou atualizações para seu recurso de Autorização de Atualização Local para mitigar tais bypasses de acontecer novamente.
Isso inclui ativá-lo por padrão para todos os novos clientes.
A revelação vem enquanto a Cisco revelou que uma família de ransomware conhecida como Crytox empregou HRSword como parte de sua cadeia de ataque para desligar proteções de segurança de endpoint.
HRSword foi observado anteriormente em ataques entregando as cepas de ransomware BabyLockerKZ e Phobos, assim como aqueles projetados para terminar soluções de segurança da AhnLab na Coreia do Sul.
Novas Tendências de Ransomware Ataques de ransomware também têm cada vez mais mirado controladores de domínio para violar organizações, permitindo que atores de ameaças obtenham acesso a contas privilegiadas e armem o acesso de rede centralizado para criptografar centenas ou milhares de sistemas em minutos.
"Mais de 78% dos ataques cibernéticos operados por humanos, os atores de ameaças violam com sucesso um controlador de domínio," a Microsoft revelou no mês passado.
Além disso, em mais de 35% dos casos, o dispositivo primário de disseminação -- o sistema responsável por distribuir o ransomware em larga escala -- é um controlador de domínio, destacando seu papel crucial em permitir a criptografia generalizada e a interrupção operacional.
Outros ataques de ransomware detectados nos últimos meses aproveitaram um novo Ransomware-as-a-Service (RaaS) conhecido como PlayBoy Locker, que fornece a cibercriminosos relativamente inexperientes um conjunto abrangente de ferramentas compreendendo payloads de ransomware, painéis de gerenciamento e serviços de suporte.
"A plataforma RaaS do PlayBoy Locker oferece a afiliados diversas opções para construir binários de ransomware que alvejam sistemas Windows, NAS e ESXi, permitindo configurações personalizadas para atender a diferentes requisitos operacionais," a Cybereason disse.
Os operadores do PlayBoy Locker RaaS anunciam atualizações regulares, recursos anti-detecção e até mesmo suporte ao cliente para afiliados. Os desenvolvimentos também coincidiram com o lançamento de um cartel de ransomware por DragonForce, um grupo de cibercrime que reivindicou controle do RansomHub, um esquema de RaaS que encerrou abruptamente as operações no final de março de 2025.
O serviço de branding white-label é projetado para permitir que afiliados disfarcem o ransomware da DragonForce como uma cepa diferente por uma taxa adicional.
O ator de ameaça reivindica uma participação de 20% nos pagamentos de ransomware bem-sucedidos, permitindo que os afiliados mantenham os 80% restantes.
DragonForce emergiu em agosto de 2023, posicionando-se inicialmente como uma operação hacktivista pró-Palestina antes de evoluir para uma operação de ransomware de pleno direito.
Nas últimas semanas, o sindicato de RaaS tem atraído atenção por seu alvo em varejistas do Reino Unido como Harrods, Marks and Spencer e o Co-Op.
"Este movimento, junto com o impulso da DragonForce para se marcar como um 'cartel de ransomware,' ilustra o desejo do grupo de elevar seu perfil na paisagem do crimeware ao habilitar um ecossistema," a SentinelOne disse.
Sob este modelo, a DragonForce fornece a infraestrutura, malware e serviços de suporte contínuo enquanto afiliados executam campanhas sob sua própria marcação.
De acordo com um relatório da BBC News, os ataques visando o setor de varejo do Reino Unido acreditam ter sido orquestrados por um notório grupo de ameaças e um afiliado do RansomHub conhecido como Scattered Spider (também conhecido como Octo Tempest ou UNC3944).
"É plausível que atores de ameaças incluindo UNC3944 vejam as organizações de varejo como alvos atraentes, dado que elas tipicamente possuem grandes quantidades de informações pessoais identificáveis (PII) e dados financeiros," a Mandiant, de propriedade da Google, disse.
Além disso, essas empresas podem ser mais propensas a pagar uma demanda de resgate se um ataque de ransomware impactar a capacidade delas de processar transações financeiras. Ataques de ransomware testemunharam um aumento de 25% em 2024, com o número de sites de vazamento de grupos de ransomware subindo por 53%.
A fragmentação, por Bitsight, é a chegada de gangues menores e mais ágeis que estão atacando organizações de médio porte que podem nem sempre ter os recursos para lidar com tais ameaças.
"A proliferação de grupos de ransomware significa que eles estão aumentando mais rápido do que a aplicação da lei pode fechá-los, e seu foco em organizações menores significa que qualquer um pode ser alvo," o pesquisador de segurança Dov Lerner disse.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...