Группировка Play ransomware (также известная как Balloonfly и PlayCrypt) провела атаку на неназванную организацию в США, используя уязвимость нулевого дня в Windows. Хакеры эксплуатировали уязвимость CVE-2025-29824, представляющую собой брешь в повышении привилегий в драйвере Windows CLFS. Microsoft выпустил патч для этой уязвимости только в прошлом месяце, что позволило злоумышленникам использовать её до исправления. Предполагается, что точкой входа в систему стал общедоступный Cisco Adaptive Security Appliance (ASA).
В ходе атаки использовалось вредоносное ПО Grixba — специализированный похититель информации. Примечательно, что эксплойт маскировался под программное обеспечение Palo Alto Networks, используя имена файлов "paloaltoconfig.exe" и "paloaltoconfig.dll", которые были размещены в папке Music. В процессе атаки были созданы файлы "PDUDrv.blf" (базовый журнал CLFS) в директории C:\ProgramData\SkyPDF и "clssrv.inf" (DLL, внедрённый в процесс winlogon.exe).
Злоумышленники также создали пакетные файлы для автоматизации атаки. Файл "servtask.bat" использовался для повышения привилегий, дампа реестра и создания пользователя "LocalSvc", а "cmdpostfix.bat" применялся для очистки следов эксплуатации. Кроме того, были запущены команды для сбора информации о машинах в Active Directory жертвы.
Команда Symantec Threat Hunter (часть Broadcom), обнаружившая атаку, отметила, что в данном конкретном случае полезная нагрузка программы-вымогателя не была развёрнута. Исследователи также указали, что эксплойты для CVE-2025-29824 могли быть доступны нескольким группам злоумышленников, а активность отличается от ранее зафиксированной Microsoft группы Storm-2460, которая использовала ту же уязвимость.
Параллельно с этим была выявлена новая техника обхода систем обнаружения и реагирования (EDR) под названием "Bring Your Own Installer". Данная техника использовалась в атаке программы-вымогателя Babuk против системы EDR SentinelOne. Метод эксплуатирует временное окно в процессе обновления агента, используя легитимный установщик и прерывая процесс после отключения служб, при этом не полагаясь на уязвимые драйверы. В ответ SentinelOne обновил функцию Local Upgrade Authorization для противодействия этой технике.
Статистика показывает тревожные тенденции: 78% кибератак с участием человека успешно взламывают контроллеры доменов, а в 35% случаев контроллеры доменов используются как основные распространители программ-вымогателей. В 2024 году наблюдается 25-процентный рост атак программ-вымогателей и 53-процентное увеличение количества сайтов утечек данных, связанных с программами-вымогателями.
На рынке киберпреступности появились новые операции с программами-вымогателями. PlayBoy Locker — новая программа-вымогатель как услуга (RaaS), нацеленная на системы Windows, NAS и ESXi. Группа DragonForce сформировала картель программ-вымогателей, заявив о контроле над RansomHub. Они предлагают услугу брендирования white-label и забирают 20% от выплат программ-вымогателей. Среди их целей были британские ритейлеры, включая Harrods, Marks and Spencer и Co-Op. Изначально DragonForce позиционировала себя как хактивистская операция в поддержку Палестины (август 2023 года).
Среди других упомянутых угроз — группа Black Basta, эксплуатировавшая уязвимость CVE-2024-26169, программа-вымогатель Crytox, использовавшая HRSword, и Scattered Spider/Octo Tempest/UNC3944 — партнёр RansomHub, нацеленный на розничную торговлю.
Изображение носит иллюстративный характер
В ходе атаки использовалось вредоносное ПО Grixba — специализированный похититель информации. Примечательно, что эксплойт маскировался под программное обеспечение Palo Alto Networks, используя имена файлов "paloaltoconfig.exe" и "paloaltoconfig.dll", которые были размещены в папке Music. В процессе атаки были созданы файлы "PDUDrv.blf" (базовый журнал CLFS) в директории C:\ProgramData\SkyPDF и "clssrv.inf" (DLL, внедрённый в процесс winlogon.exe).
Злоумышленники также создали пакетные файлы для автоматизации атаки. Файл "servtask.bat" использовался для повышения привилегий, дампа реестра и создания пользователя "LocalSvc", а "cmdpostfix.bat" применялся для очистки следов эксплуатации. Кроме того, были запущены команды для сбора информации о машинах в Active Directory жертвы.
Команда Symantec Threat Hunter (часть Broadcom), обнаружившая атаку, отметила, что в данном конкретном случае полезная нагрузка программы-вымогателя не была развёрнута. Исследователи также указали, что эксплойты для CVE-2025-29824 могли быть доступны нескольким группам злоумышленников, а активность отличается от ранее зафиксированной Microsoft группы Storm-2460, которая использовала ту же уязвимость.
Параллельно с этим была выявлена новая техника обхода систем обнаружения и реагирования (EDR) под названием "Bring Your Own Installer". Данная техника использовалась в атаке программы-вымогателя Babuk против системы EDR SentinelOne. Метод эксплуатирует временное окно в процессе обновления агента, используя легитимный установщик и прерывая процесс после отключения служб, при этом не полагаясь на уязвимые драйверы. В ответ SentinelOne обновил функцию Local Upgrade Authorization для противодействия этой технике.
Статистика показывает тревожные тенденции: 78% кибератак с участием человека успешно взламывают контроллеры доменов, а в 35% случаев контроллеры доменов используются как основные распространители программ-вымогателей. В 2024 году наблюдается 25-процентный рост атак программ-вымогателей и 53-процентное увеличение количества сайтов утечек данных, связанных с программами-вымогателями.
На рынке киберпреступности появились новые операции с программами-вымогателями. PlayBoy Locker — новая программа-вымогатель как услуга (RaaS), нацеленная на системы Windows, NAS и ESXi. Группа DragonForce сформировала картель программ-вымогателей, заявив о контроле над RansomHub. Они предлагают услугу брендирования white-label и забирают 20% от выплат программ-вымогателей. Среди их целей были британские ритейлеры, включая Harrods, Marks and Spencer и Co-Op. Изначально DragonForce позиционировала себя как хактивистская операция в поддержку Палестины (август 2023 года).
Среди других упомянутых угроз — группа Black Basta, эксплуатировавшая уязвимость CVE-2024-26169, программа-вымогатель Crytox, использовавшая HRSword, и Scattered Spider/Octo Tempest/UNC3944 — партнёр RansomHub, нацеленный на розничную торговлю.
