Dreigingsacteurs met links naar de Play Ransomware Family hebben een recent gepatchte beveiligingsfout in Microsoft Windows uitgebuit als een nul-dag als onderdeel van een aanval die zich richt op een naamloze organisatie in de Verenigde Staten.
De aanval, volgens het Symantec Threat Hunter-team, onderdeel van Broadcom, Leveraged CVE-2025-29824, een privilege-escalatiefout in het bestuurder van het Common Log File System (CLFS). Het werd vorige maand gepatcht door Microsoft.
Play, ook wel ballonfly en playcrypt genoemd, staat bekend om zijn dubbele afpersingstactieken, waarbij gevoelige gegevens worden geëxfiltreerd voorafgaand aan codering in ruil voor een losgeld. Het is actief sinds minstens medio 2022.
In de activiteit die Symantec waargenomen, zouden de dreigingsactoren waarschijnlijk een openbaar gerichte Cisco Adaptive Security Appliance (ASA) als een toegangspunt hebben gebruikt, waardoor gebruik wordt gemaakt van een nog niet-onderbepaalde methode om naar een andere Windows-machine op het doelnetwerk te gaan.
De aanval is opmerkelijk voor het gebruik van Grixba, een op maat gemaakte informatie-stealer die eerder werd toegeschreven om te spelen en een exploit voor CVE-2025-29824 die is gedropt in de muziekmap, waardoor het namen krijgen die masquerades als Palo Alto Networks-software (bijv. “Paloaltoconfig.exe” en “PaloalToconfig.Dll”).
De dreigingsactoren zijn ook waargenomen om opdrachten uit te voeren om informatie te verzamelen over alle beschikbare machines in de Active Directory van de slachtoffers en de resultaten op te slaan op een CSV -bestand.
“Tijdens de uitvoering van de exploit worden twee bestanden gemaakt in Path C: ProgramData Skypdf,” legde Symantec uit. “Het eerste bestand, PDUDRV.BLF, is een gemeenschappelijk logbestandsbestand voor het basisteken en is een artefact gemaakt tijdens exploitatie.”
“Het tweede bestand, CLSSRV.Inf, is een DLL die wordt geïnjecteerd in het WinLogon.exe -proces. Deze DLL heeft de mogelijkheid om twee extra batchbestanden te laten vallen.”
Een van de batchbestanden, genaamd “Servtask.bat”, wordt gebruikt om privileges te escaleren, de bijenkorven van SAM-, System en Security Registry te dumpen, een nieuwe gebruiker te maken met de naam “LocalSvc” en IT aan de beheerdersgroep. Het andere batchbestand, “cmdpostfix.bat”, wordt gebruikt om sporen van uitbuiting op te ruimen.
Symantec zei dat er geen ransomware -lading werd geïmplementeerd in de inbraak. Uit de bevindingen blijkt dat exploits voor CVE-2025-29824 mogelijk beschikbaar waren voor meerdere dreigingsacteurs voordat het door Microsoft werd vastgesteld.
Het is vermeldenswaard dat de aard van de uitbuiting van het cybersecuritybedrijf niet overlapt met een ander activiteitscluster dat Storm-2460 wordt nagesynchroniseerd dat Microsoft onthulde als het bewapenen van de fout in een beperkte set aanvallen om een Trojan nagesynchroniseerd pipemagisch te leveren.
De exploitatie van CVE-2025-29824 wijst ook op de trend van ransomware-acteurs die nuldagen gebruiken om doelen te infiltreren. Vorig jaar onthulde Symantec dat de Black Basta Group mogelijk gebruik heeft gemaakt van CVE-2024-26169, een escalatie van privileges in de Windows-foutenrapportageservice, als een zero-day.
Nieuwe “Breng uw eigen installatieprogramma” EDR -bypass gebruikt in Babuk Ransomware -aanval
De openbaarmaking komt als Aon’s Stroz Friedberg Incident Response Services gedetailleerd een lokale bypass -techniek genaamd Bring Your Own Installer die wordt uitgebuit door dreigingsactoren om eindpuntbeveiligingssoftware uit te schakelen en de Babuk -ransomware te implementeren.
De aanval, volgens het bedrijf, richtte zich op het Sentinelone’s Endpoint Detection and Response (EDR) -systeem door een fout te exploiteren binnen het upgrade/downgrade-proces van de Sentinelone-agent nadat hij lokale administratieve toegang had gekregen op een openbaar toegankelijke server.
“Breng uw eigen installatieprogramma mee een techniek die door bedreigingsactoren kan worden gebruikt om EDR -bescherming op een host te omzeilen door een getimede beëindiging van het agent -updateproces wanneer onvoldoende geconfigureerd,” zeiden AON -onderzoekers John Ailes en Tim Mashni.
De aanpak is opmerkelijk omdat het niet afhankelijk is van kwetsbare stuurprogramma’s of andere tools om beveiligingssoftware te ontwapenen. Het maakt eerder gebruik van een tijdvenster in het agent -upgrade -proces om het runnen van EDR -agenten te beëindigen, waardoor apparaten onbeschermd worden.
In het bijzonder misbruikt het het feit dat het installeren van een andere versie van de software met behulp van een MSI -bestand ervoor zorgt dat deze al Windows -processen beëindigt voordat de update wordt uitgevoerd.
De Breng uw eigen installateur -aanval omvat in wezen het uitvoeren van een legitiem installatieprogramma en het krachtig beëindigen van het installatieproces door een opdracht “TaskKill” uit te geven nadat het de lopende services heeft afgesloten.
“Omdat de oude versie van Sentinelone -processen werd beëindigd tijdens de upgrade en de nieuwe processen werden onderbroken vóór het paaien, was het eindresultaat een systeem zonder bescherming van Sentinelone,” zeiden Aon -onderzoekers.
Sentinelone, dat zei dat de techniek zou kunnen worden toegepast tegen andere producten van het eindpuntbescherming, heeft sindsdien updates uitgerold voor zijn lokale upgrade -autorisatiefunctie om dergelijke bypasses opnieuw te verminderen. Dit omvat het standaard inschakelen voor alle nieuwe klanten.
De openbaarmaking komt wanneer Cisco onthulde dat een ransomware -familie bekend als Crytox HRSword heeft gebruikt als onderdeel van hun aanvalsketen om de beveiligingsbescherming van het eindpunt uit te schakelen.
HRSword is eerder waargenomen bij aanvallen die BabyLockerkz- en Phobos -ransomware -stammen leveren, evenals die ontworpen om de beveiligingsoplossingen van Ahnlab in Zuid -Korea te beëindigen.
Nieuwe ransomware -trends
Ransomware -aanvallen hebben ook in toenemende mate hun zinnen getraind op domeincontrollers om organisaties te overtreden, waardoor dreigingsactoren toegang hebben tot bevoorrechte accounts en de gecentraliseerde netwerktoegang om honderden of duizenden systemen binnen enkele minuten te coderen.
“Meer dan 78% van de door mensen bediende cyberaanvallen, dreigingsacteurs doorbreken met succes een domeincontroller,” onthulde Microsoft vorige maand.
“Bovendien, in meer dan 35% van de gevallen, is het primaire spreidingsapparaat – het systeem dat verantwoordelijk is voor het verspreiden van ransomware op schaal – een domeincontroller, die de cruciale rol benadrukt bij het mogelijk maken van wijdverbreide codering en operationele verstoring.”
Andere ransomware-aanvallen die de afgelopen maanden zijn gedetecteerd, hebben een nieuwe ransomware-as-a-service (RAAS) bekend als Playboy Locker, die relatief ongeschoolde cybercriminelen biedt met een uitgebreide toolkit bestaande uit ransomware-payloads, managementdashboards en ondersteuningsdiensten.
“Het Playboy Locker RAAS -platform biedt gelieerde ondernemingen talloze opties voor het bouwen van ransomware -binaire bestanden die zich richten op Windows, NAS en ESXI -systemen, waardoor configuraties op maat kunnen voldoen aan verschillende operationele vereisten,” zei Cyreason. “Playboy Locker RAAS-operators adverteren reguliere updates, anti-detectie-functies en zelfs klantenondersteuning voor gelieerde ondernemingen.”
De ontwikkelingen vielen ook samen met de lancering van een ransomware-kartel van Dragonforce, een e-misdaadgroep die de controle over Ransomhub heeft opgeëist, een RAAS-schema dat eind maart 2025 abrupt de activiteiten stopte.
De White-Label Brandingservice is ontworpen om gelieerde ondernemingen in staat te stellen de Dragonforce-ransomware te verbergen als een andere belasting voor een extra vergoeding. De dreigingsacteur beweert een aandeel van 20% van succesvolle ransomware -uitbetalingen te nemen, waardoor de gelieerde ondernemingen de resterende 80% kunnen behouden.
Dragonforce ontstond in augustus 2023 en positioneerde zichzelf als een pro-Palestijnse hacktivistische operatie voordat hij zich ontwikkelde naar een volwaardige ransomware-operatie. In de afgelopen weken heeft het RAAS-syndicaat de aandacht getrokken voor zijn targeting van Britse retailers zoals Harrods, Marks en Spencer en de Co-op.
“Deze stap, samen met Dragonforce’s push om zichzelf te merken als een ‘ransomware -kartel’, illustreert de wens van de groep om zijn profiel in het Crimware -landschap te verhogen door een ecosysteem mogelijk te maken,” zei Sentinelone. “Onder dit model biedt Dragonforce de infrastructuur, malware en voortdurende ondersteuningsdiensten terwijl gelieerde ondernemingen campagnes onder hun eigen branding uitvoeren.”
Volgens een rapport van BBC News wordt verondersteld dat de aanvallen op de Britse detailhandel sector zijn georkestreerd door een beruchte dreigingsgroep en een ransomhub -filiaal dat bekend staat als Scattered Spider (aka Octo Tempest of UNC3944).
“Het is aannemelijk dat bedreigingsactoren, waaronder UNC3944, retailorganisaties als aantrekkelijke doelen beschouwen, aangezien ze meestal grote hoeveelheden persoonlijk identificeerbare informatie (PII) en financiële gegevens bezitten,” zei Google-eigendom Mandiant.
“Verder kunnen deze bedrijven eerder een losgeldvraag betalen als een ransomware -aanval hun vermogen om financiële transacties te verwerken beïnvloedt.”
Ransomware -aanvallen zijn getuige geweest van een toename van 25% in 2024, met het aantal lekites voor ransomware -groep met 53%. De fragmentatie, per Bitsight, is de komst van kleinere, meer wendbare bendes die op middelgrote organisaties opvallen die mogelijk niet altijd de middelen hebben om dergelijke bedreigingen aan te pakken.
“De proliferatie van ransomware -groepen betekent dat ze sneller toenemen dan wetshandhaving hen kan afsluiten, en hun focus op kleinere organisaties betekent dat iedereen een doelwit kan zijn,” zei beveiligingsonderzoeker Dov Lerner.
