Los actores de amenaza con enlaces a la familia Ransomware explotaron una falla de seguridad recientemente parcheada en Microsoft Windows como un día cero como parte de un ataque dirigido a una organización no identificada en los Estados Unidos.
El ataque, según el equipo de cazadores de amenazas de Symantec, parte de Broadcom, apalancado CVE-2025-29824, una falla de escalada de privilegio en el controlador de archivos de registro común (CLFS). Fue parcheado por Microsoft el mes pasado.
Play, también llamado Balloonfly y PlayCrypt, es conocido por sus tácticas de doble extorsión, donde los datos confidenciales se exfiltran antes del cifrado a cambio de un rescate. Está activo desde al menos a mediados de 2012.
En la actividad observada por Symantec, se dice que los actores de amenaza probablemente aprovecharon un dispositivo de seguridad adaptativo de Cisco (ASA) de Cisco como un método de mudarse a otra máquina de Windows en la red de destino.
El ataque es notable por el uso de Grixba, un robador de información a medida previamente atribuido a Play y una exploit para CVE-2025-29824 que se ha caído en la carpeta de música, dándole nombres que estaquerade como Palo Alto Networks Software (EG, “PaloalToconfig.exe” y “PaloalToconfig.Dll”).
También se ha observado que los actores de amenaza ejecutan comandos para recopilar información sobre todas las máquinas disponibles en el directorio activo de las víctimas y guardar los resultados en un archivo CSV.
“Durante la ejecución de la exploit, se crean dos archivos en la ruta C: ProgramData SkyPDF”, explicó Symantec. “El primer archivo, pdudrv.blf, es un archivo de registro base del sistema de archivo de registro común y es un artefacto creado durante la explotación”.
“El segundo archivo, clssrv.inf, es una DLL que se inyecta en el proceso winlogon.exe. Esta DLL tiene la capacidad de soltar dos archivos de lotes adicionales”.
Uno de los archivos por lotes, llamados “ServTask.bat”, se utiliza para aumentar los privilegios, volcar las colmenas SAM, Sistema y Registro de Seguridad, crear un nuevo usuario llamado “LocalsVC” y TI al grupo de administrador. El otro archivo por lotes, “cmdpostfix.bat”, se utiliza para limpiar trazas de explotación.
Symantec dijo que no se implementó una carga útil de ransomware en la intrusión. Los resultados muestran que los exploits para CVE-2025-29824 pueden haber estado disponibles para múltiples actores de amenaza antes de que Microsoft lo arregle.
Vale la pena señalar que la naturaleza de la explotación detallada por la compañía de seguridad cibernética no se superpone con otro clúster de actividad denominado Storm-2460 que Microsoft reveló que había armado el defecto en un conjunto limitado de ataques para entregar un troyano doblado Pipemagic.
La explotación de CVE-2025-29824 también apunta a la tendencia de los actores de ransomware que usan días cero para infiltrarse en objetivos. El año pasado, Symantec divulgó que el Grupo Black Basta puede haber aprovechado CVE-2024-26169, una escalada de privilegios en el servicio de informes de errores de Windows, como un día cero.
Nuevo “traer su propio instalador” EDR Bypass usado en Babuk Ransomware Attack
La divulgación se produce cuando los Servicios de Respuesta a Incidentes de Incidentes de Stroz Friedberg de Aon detallaron una técnica de derivación local llamada Traer su propio instalador que está siendo explotado por los actores de amenaza para deshabilitar el software de seguridad de puntos finales e implementar el ransomware Babuk.
El ataque, según la compañía, dirigió el sistema de detección y respuesta de punto final de Sentinelone (EDR) al explotar un defecto dentro del proceso de actualización/rebaja del agente Sentinelone después de haber obtenido acceso administrativo local en un servidor de acceso público.
“Traiga su propio instalador es una técnica que los actores de amenazas pueden utilizar para evitar la protección EDR en un host a través de la terminación cronometrada del proceso de actualización del agente cuando se configuran inadecuadamente”, los investigadores de Aon John Ailes y Tim Mashni dicho.
El enfoque es notable porque no se basa en controladores vulnerables u otras herramientas para desarmar el software de seguridad. Más bien, explota una ventana de tiempo en el proceso de actualización del agente para finalizar la ejecución de agentes EDR, dejando dispositivos sin protección.
Específicamente, abusa del hecho de que la instalación de una versión diferente del software que usa un archivo MSI hace que termine los procesos de Windows ya en ejecución antes de que se realice la actualización.
El ataque de Instalante Bring Your Own implica esencialmente ejecutar un instalador legítimo y terminar con fuerza el proceso de instalación emitiendo un comando “TaskKill” después de que apaga los servicios de ejecución.
“Debido a que la versión anterior de los procesos de Sentinelone se terminaron durante la actualización, y los nuevos procesos se interrumpieron antes de desove, el resultado final fue un sistema sin protección contra sentinelona”, dijeron los investigadores de Aon.
Sentinelone, que dijo que la técnica podría aplicarse contra otros productos de protección de punto final, ha sido desde entonces actualizaciones a su Autorización de actualización local característica para mitigar tales derivaciones vuelven a suceder. Esto incluye habilitarlo de forma predeterminada para todos los nuevos clientes.
La divulgación se produce como Cisco reveló Que una familia de ransomware conocida como Crytox ha empleado HRSword como parte de su cadena de ataque para apagar las protecciones de seguridad del punto final.
HRSword ha sido observado previamente en ataques que entregan babylockz y Fobos cepas de ransomware, así como aquellas diseñado para terminar las soluciones de seguridad de Ahnlab en Corea del Sur.
Nuevas tendencias de ransomware
Los ataques de ransomware también han capacitado cada vez más sus miras en los controladores de dominios para violar las organizaciones, lo que permite a los actores de amenaza obtener acceso a cuentas privilegiadas y armarse el acceso centralizado de la red a cifrar cientos o miles de sistemas en minutos.
“Más del 78% de los ataques cibernéticos operados por humanos, los actores de amenaza violan con éxito un controlador de dominio”, Microsoft reveló mes pasado.
“Además, en más del 35% de los casos, el dispositivo de dispersión primario, el sistema responsable de distribuir ransomware a escala, es un controlador de dominio, que destaca su papel crucial en la habilitación de cifrado generalizado e interrupción operativa”.
Otros ataques de ransomware detectados en los últimos meses han aprovechado un nuevo ransomware como servicio (RAAS) conocido como Lockoy Locker, que proporciona ciberdelincuentes relativamente no calificados con un conjunto de herramientas integral que comprende cargas útiles de ransomware, paneles de administración y servicios de soporte.
“La plataforma Playboy Locker Raas ofrece afiliados numerosas opciones para construir binarios de ransomware que se dirigen a los sistemas de Windows, NAS y ESXI, lo que permite que las configuraciones personalizadas se adapten a diferentes requisitos operativos”, Cyberazon dicho. “Los operadores de Playboy Locker Raas anuncian actualizaciones periódicas, características anti-detección e incluso atención al cliente para afiliados”.
Los desarrollos también han coincidido con el lanzamiento de un cartel de ransomware por Dragonforce, un grupo de delitos electrónicos que ha reclamado el control de Ransomhub, un esquema RAAS que dejó de operar abruptamente a fines de marzo de 2025.
El servicio de marca de etiqueta blanca está diseñado para permitir que los afiliados disfrazaran el ransomware de Dragonforce como una cepa diferente por una tarifa adicional. El actor de amenaza afirma tomar una participación del 20% de los pagos exitosos de ransomware, lo que permite a los afiliados mantener el 80% restante.
Dragonforce surgido En agosto de 2023, se posicionó como una operación hacktivista pro-palestina antes de evolucionar a una operación de ransomware de pleno derecho. En las últimas semanas, el sindicato RAAS ha atraído la atención por su objetivo de minoristas del Reino Unido como Harrods, Marks y Spencer, y la Cooperativa.
“Este movimiento, junto con el impulso de DragonForce para marcarse como un ‘Cartel de ransomware’, ilustra el deseo del grupo de elevar su perfil en el panorama de Crimeware al permitir un ecosistema”, Sentinelone dicho. “Bajo este modelo, DragonForce proporciona la infraestructura, el malware y los servicios de soporte continuos, mientras que los afiliados ejecutan campañas bajo su propia marca”.
Según un informe De BBC News, se cree que los ataques dirigidos al sector minorista del Reino Unido fueron orquestados por un notorio grupo de amenazas y un afiliado de Ransomhub conocido como Araña dispersa (también conocido como Octo Tempest o UNC3944).
“Es plausible que los actores de amenaza, incluidos UNC3944, vean las organizaciones minoristas como objetivos atractivos, dado que generalmente poseen grandes cantidades de información de identificación personal (PII) y datos financieros,” Mandiant propiedad de Google dicho.
“Además, es más probable que estas compañías paguen una demanda de rescate si un ataque de ransomware afecta su capacidad para procesar transacciones financieras”.
Los ataques de ransomware han sido testigos de un aumento del 25% en 2024, con el número de sitios de fuga de grupo de ransomware que aumentan en un 53%. La fragmentación, por visión de bits, es la llegada de pandillas más pequeñas y ágiles que están golpeando a organizaciones medianas que no siempre tienen los recursos para abordar tales amenazas.
“La proliferación de grupos de ransomware significa que están aumentando más rápido de lo que la policía puede cerrarlos, y su enfoque en organizaciones más pequeñas significa que cualquier persona puede ser un objetivo”, el investigador de seguridad Dov Lerner dicho.
About the Author
