Los actores de amenaza con enlaces a la grupo Ransomware explotaron una falta de seguridad recientemente parcheada en Microsoft Windows como un día cero como parte de un ataque dirigido a una ordenamiento no identificada en los Estados Unidos.
El ataque, según el equipo de cazadores de amenazas de Symantec, parte de Broadcom, apalancó CVE-2025-29824, un defecto de subida de privilegios en el regulador del sistema de archivos de registro popular (CLFS). Fue parcheado por Microsoft el mes pasado.
Play, incluso llamado Balloonfly y PlayCrypt, es conocido por sus tácticas de doble perjuicio, donde los datos confidenciales se exfiltran ayer del criptográfico a cambio de un rescate. Está activo desde al menos a mediados de 2012.
En la actividad observada por Symantec, se dice que los actores de amenaza probablemente aprovecharon un dispositivo de seguridad adaptativo de Cisco (ASA) de Cisco como un método de mudarse a otra máquina de Windows en la red de destino.
El ataque es importante por el uso de Grixba, un robador de información a medida previamente atribuido a Play y una exploit para CVE-2025-29824 que se ha caído en la carpeta de música, dándole nombres que estaquerade como Palo Detención Networks Software (EG, «PaloalToconfig.exe» y «PaloalToconfig.Dll»).
Igualmente se ha observado que los actores de amenaza ejecutan comandos para compilar información sobre todas las máquinas disponibles en el directorio activo de las víctimas y retener los resultados en un archivo CSV.
«Durante la ejecución de la exploit, se crean dos archivos en la ruta C: ProgramData SkyPDF», explicó Symantec. «El primer archivo, pdudrv.blf, es un archivo de registro colchoneta del sistema de archivo de registro popular y es un artefacto creado durante la explotación».
«El segundo archivo, clssrv.inf, es una DLL que se inyecta en el proceso winlogon.exe. Esta DLL tiene la capacidad de soltar dos archivos de lotes adicionales».
Uno de los archivos por lotes, llamados «ServTask.bat», se utiliza para aumentar los privilegios, volcar las colmenas SAM, Sistema y Registro de Seguridad, crear un nuevo adjudicatario llamado «LocalsVC» y TI al comunidad de administrador. El otro archivo por lotes, «cmdpostfix.bat», se utiliza para erradicar trazas de explotación.
Symantec dijo que no se implementó una carga útil de ransomware en la intrusión. Los resultados muestran que los exploits para CVE-2025-29824 pueden poseer estado disponibles para múltiples actores de amenaza ayer de que Microsoft lo arregle.
Vale la pena señalar que la naturaleza de la explotación detallada por la compañía de seguridad cibernética no se superpone con otro clúster de actividad denominado Storm-2460 que Microsoft reveló que había armado el defecto en un conjunto pequeño de ataques para entregar un troyano doblado Pipemagic.
La explotación de CVE-2025-29824 incluso apunta a la tendencia de los actores de ransomware que usan días cero para infiltrarse en objetivos. El año pasado, Symantec divulgó que el Asociación Black Pespunte puede poseer explotado CVE-2024-26169, una subida de privilegios en el servicio de informes de errores de Windows, como un día cero.
Nuevo «traer su propio instalador» EDR Bypass usado en Babuk Ransomware Attack
La divulgación se produce cuando los Servicios de Respuesta a Incidentes de Incidentes de Stroz Friedberg de Aon detallaron una técnica de derivación tópico indicación Traer su propio instalador que está siendo explotado por los actores de amenaza para deshabilitar el software de seguridad de puntos finales e implementar el ransomware Babuk.
El ataque, según la compañía, dirigió el sistema de detección y respuesta de punto final de Sentinelone (EDR) al explotar un defecto en el interior del proceso de puesta al día/descuento del agente Sentinelone a posteriori de poseer obtenido golpe oficial tópico en un servidor de golpe divulgado.
«Traer su propio instalador es una técnica que los actores de amenaza pueden utilizar para evitar la protección EDR en un host a través de la terminación cronometrada del proceso de puesta al día del agente cuando se configuran inadecuadamente», dijeron los investigadores de AON John Ailes y Tim Mashni.
El enfoque es importante porque no se sostén en controladores vulnerables u otras herramientas para desarmar el software de seguridad. Más perfectamente, explota una ventana de tiempo en el proceso de puesta al día del agente para finalizar la ejecución de agentes EDR, dejando dispositivos sin protección.
Específicamente, abusa del hecho de que la instalación de una traducción diferente del software que usa un archivo MSI hace que termine los procesos de Windows ya en ejecución ayer de que se realice la puesta al día.
El ataque de traer su propio instalador (BYOI) esencialmente implica ejecutar un instalador oficial y terminar con fuerza el proceso de instalación emitiendo un comando «TaskKill» a posteriori de que apaga los servicios de ejecución.
«Correcto a que la traducción inicial de los procesos de Sentinelone se terminaron durante la puesta al día, y los nuevos procesos se interrumpieron ayer de desove, el resultado final fue un sistema sin protección contra sentinelona», dijeron los investigadores de Aon.
Sentinelone, que dijo que la técnica podría aplicarse contra otros productos de protección de punto final, desde entonces ha implementado actualizaciones en su función de autorización de puesta al día tópico para mitigar que tales derivaciones ocurran nuevamente. Esto incluye habilitarlo de forma predeterminada para todos los nuevos clientes.
La compañía de seguridad cibernética dijo que incluso ha audaz una nueva regla de la biblioteca de detección de plataforma para detectar la técnica BYOI a través de la consola Sentinelone, y que «actualmente implementa actualizaciones de la consola para que la función de autorización de actualizaciones locales sea más prominente».
La divulgación se produce cuando Cisco reveló que una grupo de ransomware conocida como Crytox ha empleado HRSword como parte de su cautiverio de ataque para desactivar las protecciones de seguridad del punto final.
HRSword ha sido observado previamente en ataques que entregan cepas de ransomware BabyLockz y Phobos, así como las diseñadas para terminar las soluciones de seguridad de Ahnlab en Corea del Sur.
Nuevas tendencias de ransomware
Los ataques de ransomware incluso han capacitado cada vez más sus miras en los controladores de dominios para violar las organizaciones, lo que permite a los actores de amenaza obtener golpe a cuentas privilegiadas y armarse el golpe centralizado de la red a resumir cientos o miles de sistemas en minutos.
«Más del 78% de los ataques cibernéticos operados por humanos, los actores de amenaza violaron con éxito un regulador de dominio», reveló Microsoft el mes pasado.
«Encima, en más del 35% de los casos, el dispositivo de dispersión primario, el sistema responsable de distribuir ransomware a escalera, es un regulador de dominio, que destaca su papel crucial en la autorización de criptográfico generalizado e interrupción operativa».
Otros ataques de ransomware detectados en los últimos meses han explotado un nuevo ransomware como servicio (RAAS) conocido como Lockoy Locker, que proporciona ciberdelincuentes relativamente no calificados con un conjunto de herramientas integral que comprende cargas enseres de ransomware, paneles de sucursal y servicios de soporte.
«La plataforma Playboy Locker Raas ofrece afiliados numerosas opciones para construir binarios de ransomware que se dirigen a los sistemas Windows, NAS y ESXI, lo que permite que las configuraciones personalizadas se adapten a diferentes requisitos operativos», dijo Cyberazon. «Los operadores de Playboy Locker Raas anuncian actualizaciones periódicas, características anti-detección e incluso atención al cliente para afiliados».
Los desarrollos incluso han coincidido con el divulgación de un cartel de ransomware por Dragonforce, un comunidad de delitos electrónicos que ha reclamado el control de Ransomhub, un esquema RAAS que dejó de trabajar abruptamente a fines de marzo de 2025.
El servicio de marca de inscripción blanca está diseñado para permitir que los afiliados disfrazaran el ransomware de Dragonforce como una cepa diferente por una tarifa adicional. El actor de amenaza afirma tomar una billete del 20% de los pagos exitosos de ransomware, lo que permite a los afiliados perseverar el 80% restante.
Dragonforce surgió en agosto de 2023, posicionándose como una operación hacktivista pro-palestina ayer de transformarse a una operación de ransomware de pleno derecho. En las últimas semanas, el sindicato RAAS ha atraído la atención por su objetivo de minoristas del Reino Unido como Harrods, Marks y Spencer, y la Cooperativa.
«Este movimiento, pegado con el impulso de Dragonforce para marcarse como un ‘cartel de ransomware’, ilustra el deseo del comunidad de elevar su perfil en el panorama de Crimeware al habilitar un ecosistema», dijo Sentinelone. «Bajo este maniquí, DragonForce proporciona la infraestructura, el malware y los servicios de soporte continuos, mientras que los afiliados ejecutan campañas bajo su propia marca».
Según un referencia de BBC News, se cree que los ataques dirigidos al sector minorista del Reino Unido fueron orquestados por un palpable comunidad de amenazas y un afiliado de Ransomhub conocido como araña dispersa (incluso conocida como Octo Tempest o UNC3944).
«Es plausible que los actores de amenaza, incluidos UNC3944, vean las organizaciones minoristas como objetivos atractivos, regalado que generalmente poseen grandes cantidades de información de identificación personal (PII) y datos financieros», dijo Mandiant, propiedad de Google.
«Encima, es más probable que estas compañías paguen una demanda de rescate si un ataque de ransomware afecta su capacidad para procesar transacciones financieras».
Los ataques de ransomware han sido testigos de un aumento del 25% en 2024, con el número de sitios de fuga de comunidad de ransomware que aumentan en un 53%. La fragmentación, por visión de bits, es la presentación de pandillas más pequeñas y ágiles que están golpeando a organizaciones medianas que no siempre tienen los capital para chocar tales amenazas.
«La proliferación de grupos de ransomware significa que están aumentando más rápido de lo que la policía puede cerrarlos, y su enfoque en organizaciones más pequeñas significa que cualquier persona puede ser un objetivo», dijo el investigador de seguridad Dov Lerner.
(La historia se ha actualizado a posteriori de la publicación para incluir pasos de mitigación adicionales publicados por Sentinelone con respecto a la técnica BYOI Bypass).
