O grupo de ransomware Play explorou uma falha de alta gravidade no sistema Windows Common Log File, em ataques zero-day, para obter privilégios de SYSTEM e implantar malware em sistemas comprometidos.
A vulnerabilidade, identificada como
CVE-2025-29824
, foi marcada pela Microsoft como explorada em um número limitado de ataques e corrigida durante o Patch Tuesday do mês passado.
"Os alvos incluem organizações nos setores de tecnologia da informação (IT) e imobiliário dos Estados Unidos, o setor financeiro na Venezuela, uma empresa de software espanhola e o setor de varejo na Arábia Saudita," disse a Microsoft em abril.
A Microsoft ligou esses ataques ao grupo RansomEXX ransomware, dizendo que os atacantes instalaram o malware backdoor PipeMagic, que foi usado para soltar o exploit
CVE-2025-29824
, implantar payloads de ransomware e notas de resgate após criptografar arquivos.
Desde então, a Equipe de Caça a Ameaças da Symantec também encontrou evidências que os ligam à operação de ransomware como serviço (ransomware-as-a-service) do Play, dizendo que os atacantes implantaram um exploit de escalonamento de privilégio zero-day
CVE-2025-29824
após violarem a rede de uma organização dos EUA.
"Embora nenhum payload de ransomware tenha sido implantada na intrusão, os atacantes implantaram o infostealer Grixba, que é uma ferramenta personalizada associada ao Balloonfly, os atacantes por trás da operação de ransomware Play," disse a Symantec.
Balloonfly é um grupo de cibercrime ativo desde pelo menos junho de 2022 e usa o ransomware Play (também conhecido como PlayCrypt) em ataques.
A ferramenta personalizada de varredura de rede e roubo de informações Grixba foi avistada pela primeira vez há dois anos, e operadores de ransomware Play geralmente a usam para enumerar usuários e computadores em redes comprometidas.
O grupo de cibercrime Play surgiu em junho de 2022 e também é conhecido por ataques de dupla extorsão, nos quais seus afiliados pressionam as vítimas a pagar resgates para evitar que seus dados roubados sejam vazados online.
Em dezembro de 2023, o FBI emitiu um aviso conjunto com o CISA e o Centro de Segurança Cibernética da Austrália (ACSC), alertando que o grupo de ransomware Play havia violado as redes de cerca de 300 organizações em todo o mundo até outubro de 2023.
Vítimas notáveis do ransomware Play incluem a empresa de computação em nuvem Rackspace, a gigante varejista de automóveis Arnold Clark, a cidade de Oakland na Califórnia, o condado de Dallas, a cidade belga de Antuérpia e, mais recentemente, o fornecedor americano de semicondutores Microchip Technology e a rede de lojas de rosquinhas Krispy Kreme.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...