Ssylka

Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак

Группировка Play ransomware (также известная как Balloonfly и PlayCrypt) провела атаку на неназванную организацию в США, используя уязвимость нулевого дня в Windows. Хакеры эксплуатировали уязвимость CVE-2025-29824, представляющую собой брешь в повышении привилегий в драйвере Windows CLFS. Microsoft выпустил патч для этой уязвимости только в прошлом месяце, что позволило злоумышленникам использовать её до исправления. Предполагается, что точкой входа в систему стал общедоступный Cisco Adaptive Security Appliance (ASA).
Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак
Изображение носит иллюстративный характер

В ходе атаки использовалось вредоносное ПО Grixba — специализированный похититель информации. Примечательно, что эксплойт маскировался под программное обеспечение Palo Alto Networks, используя имена файлов "paloaltoconfig.exe" и "paloaltoconfig.dll", которые были размещены в папке Music. В процессе атаки были созданы файлы "PDUDrv.blf" (базовый журнал CLFS) в директории C:\ProgramData\SkyPDF и "clssrv.inf" (DLL, внедрённый в процесс winlogon.exe).

Злоумышленники также создали пакетные файлы для автоматизации атаки. Файл "servtask.bat" использовался для повышения привилегий, дампа реестра и создания пользователя "LocalSvc", а "cmdpostfix.bat" применялся для очистки следов эксплуатации. Кроме того, были запущены команды для сбора информации о машинах в Active Directory жертвы.

Команда Symantec Threat Hunter (часть Broadcom), обнаружившая атаку, отметила, что в данном конкретном случае полезная нагрузка программы-вымогателя не была развёрнута. Исследователи также указали, что эксплойты для CVE-2025-29824 могли быть доступны нескольким группам злоумышленников, а активность отличается от ранее зафиксированной Microsoft группы Storm-2460, которая использовала ту же уязвимость.

Параллельно с этим была выявлена новая техника обхода систем обнаружения и реагирования (EDR) под названием "Bring Your Own Installer". Данная техника использовалась в атаке программы-вымогателя Babuk против системы EDR SentinelOne. Метод эксплуатирует временное окно в процессе обновления агента, используя легитимный установщик и прерывая процесс после отключения служб, при этом не полагаясь на уязвимые драйверы. В ответ SentinelOne обновил функцию Local Upgrade Authorization для противодействия этой технике.

Статистика показывает тревожные тенденции: 78% кибератак с участием человека успешно взламывают контроллеры доменов, а в 35% случаев контроллеры доменов используются как основные распространители программ-вымогателей. В 2024 году наблюдается 25-процентный рост атак программ-вымогателей и 53-процентное увеличение количества сайтов утечек данных, связанных с программами-вымогателями.

На рынке киберпреступности появились новые операции с программами-вымогателями. PlayBoy Locker — новая программа-вымогатель как услуга (RaaS), нацеленная на системы Windows, NAS и ESXi. Группа DragonForce сформировала картель программ-вымогателей, заявив о контроле над RansomHub. Они предлагают услугу брендирования white-label и забирают 20% от выплат программ-вымогателей. Среди их целей были британские ритейлеры, включая Harrods, Marks and Spencer и Co-Op. Изначально DragonForce позиционировала себя как хактивистская операция в поддержку Палестины (август 2023 года).

Среди других упомянутых угроз — группа Black Basta, эксплуатировавшая уязвимость CVE-2024-26169, программа-вымогатель Crytox, использовавшая HRSword, и Scattered Spider/Octo Tempest/UNC3944 — партнёр RansomHub, нацеленный на розничную торговлю.


Новое на сайте

15738Советский аппарат "космос-482" возвращается на землю после полувековой орбиты 15737Как NASA достигает научных прорывов с помощью стратосферных шаров? 157369 удивительных фактов о Дэвиде Аттенборо, которых вы не знали 15735Голос из небытия: как ИИ позволил жертве дорожной ярости обратиться к своему убийце 15733Как выжить при глобальной катастрофе: почему сообщество важнее капитала? 15732Марсианские "потёки краски": новые свидетельства схожести геологических... 15731Как ядерная энергетика становится ключом к развитию искусственного интеллекта? 15730Последняя попытка спастись: уникальная находка в доме древних римлян в Помпеях 15729Что скрывается в вашем дворе: ужасающая находка, заставившая интернет содрогнуться? 15728Древняя звезда раскрывает тайны эволюции космических объектов 15727Ньюкасл впервые примет церемонию вручения престижной премии Mercury Prize 15726Европол ликвидировал шесть сервисов DDoS-атак на заказ 15725Критические уязвимости в плагине OttoKit угрожают более 100 000 сайтов WordPress 15724Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid?