Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак

Группировка Play ransomware (также известная как Balloonfly и PlayCrypt) провела атаку на неназванную организацию в США, используя уязвимость нулевого дня в Windows. Хакеры эксплуатировали уязвимость CVE-2025-29824, представляющую собой брешь в повышении привилегий в драйвере Windows CLFS. Microsoft выпустил патч для этой уязвимости только в прошлом месяце, что позволило злоумышленникам использовать её до исправления. Предполагается, что точкой входа в систему стал общедоступный Cisco Adaptive Security Appliance (ASA).
Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак
Изображение носит иллюстративный характер

В ходе атаки использовалось вредоносное ПО Grixba — специализированный похититель информации. Примечательно, что эксплойт маскировался под программное обеспечение Palo Alto Networks, используя имена файлов "paloaltoconfig.exe" и "paloaltoconfig.dll", которые были размещены в папке Music. В процессе атаки были созданы файлы "PDUDrv.blf" (базовый журнал CLFS) в директории C:\ProgramData\SkyPDF и "clssrv.inf" (DLL, внедрённый в процесс winlogon.exe).

Злоумышленники также создали пакетные файлы для автоматизации атаки. Файл "servtask.bat" использовался для повышения привилегий, дампа реестра и создания пользователя "LocalSvc", а "cmdpostfix.bat" применялся для очистки следов эксплуатации. Кроме того, были запущены команды для сбора информации о машинах в Active Directory жертвы.

Команда Symantec Threat Hunter (часть Broadcom), обнаружившая атаку, отметила, что в данном конкретном случае полезная нагрузка программы-вымогателя не была развёрнута. Исследователи также указали, что эксплойты для CVE-2025-29824 могли быть доступны нескольким группам злоумышленников, а активность отличается от ранее зафиксированной Microsoft группы Storm-2460, которая использовала ту же уязвимость.

Параллельно с этим была выявлена новая техника обхода систем обнаружения и реагирования (EDR) под названием "Bring Your Own Installer". Данная техника использовалась в атаке программы-вымогателя Babuk против системы EDR SentinelOne. Метод эксплуатирует временное окно в процессе обновления агента, используя легитимный установщик и прерывая процесс после отключения служб, при этом не полагаясь на уязвимые драйверы. В ответ SentinelOne обновил функцию Local Upgrade Authorization для противодействия этой технике.

Статистика показывает тревожные тенденции: 78% кибератак с участием человека успешно взламывают контроллеры доменов, а в 35% случаев контроллеры доменов используются как основные распространители программ-вымогателей. В 2024 году наблюдается 25-процентный рост атак программ-вымогателей и 53-процентное увеличение количества сайтов утечек данных, связанных с программами-вымогателями.

На рынке киберпреступности появились новые операции с программами-вымогателями. PlayBoy Locker — новая программа-вымогатель как услуга (RaaS), нацеленная на системы Windows, NAS и ESXi. Группа DragonForce сформировала картель программ-вымогателей, заявив о контроле над RansomHub. Они предлагают услугу брендирования white-label и забирают 20% от выплат программ-вымогателей. Среди их целей были британские ритейлеры, включая Harrods, Marks and Spencer и Co-Op. Изначально DragonForce позиционировала себя как хактивистская операция в поддержку Палестины (август 2023 года).

Среди других упомянутых угроз — группа Black Basta, эксплуатировавшая уязвимость CVE-2024-26169, программа-вымогатель Crytox, использовавшая HRSword, и Scattered Spider/Octo Tempest/UNC3944 — партнёр RansomHub, нацеленный на розничную торговлю.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка