Agentes de amenazas vinculados a la familia de ransomware Play explotaron una falla de seguridad recientemente parcheada en Microsoft Windows como un ataque Zero-Day en un ataque dirigido a una organización anónima en Estados Unidos.
El ataque, según el equipo de Symantec, aprovechó la vulnerabilidad CVE-2025-29824, una falla de escalamiento de privilegios en el controlador del Windows Common Log File System (CLFS), que Microsoft la parcheó el mes pasado.
Play, también conocido como Balloonfly y PlayCrypt, es conocido por sus tácticas de doble extorsión, en las que se exfiltran datos confidenciales antes del cifrado a cambio de un rescate. Está activo desde al menos mediados de 2022.
En la actividad observada por Symantec, se dice que los actores de amenazas probablemente utilizaron un dispositivo de seguridad de Cisco ASA de acceso público como punto de entrada, aprovechando un método aún no determinado para acceder a otra máquina Windows en la red objetivo.
El ataque se caracteriza por el uso de Grixba, un ladrón de información a medida previamente atribuido a Play, y un exploit para CVE-2025-29824 que se instala en la carpeta Music, dándole nombres que simulan ser software de Palo Alto Networks (por ejemplo, "paloaltoconfig.exe" y "paloaltoconfig.dll").
También se ha observado que los actores de amenazas ejecutan comandos para recopilar información sobre todos los equipos disponibles en el Active Directory de las víctimas y guardar los resultados en un archivo CSV.
"Durante la ejecución del exploit, se crean dos archivos en la ruta C:\ProgramData\SkyPDF. El primer archivo, PDUDrv.blf, es un archivo de registro CRFS y es un artefacto creado durante el exploit. El segundo archivo, clssrv.inf, es una DLL que se inyecta en el proceso winlogon.exe. Esta DLL puede instalar dos archivos por lotes adicionales".
Uno de los archivos por lotes, llamado "servtask.bat", se utiliza para escalar privilegios, volcar las secciones del Registro SAM, SYSTEM y SECURITY, crear un nuevo usuario llamado "LocalSvc" y asignarlo al grupo Administrador. El otro archivo por lotes, "cmdpostfix.bat", se utiliza para limpiar los rastros de explotación.
Symantec afirmó que no se implementó ninguna carga útil de ransomware en la intrusión. Los hallazgos muestran que los exploits para CVE-2025-29824 podrían haber estado disponibles para múltiples actores de amenazas antes de que Microsoft lo corrigiera.
Cabe destacar que la naturaleza de la explotación detallada por la empresa de ciberseguridad no se superpone con otro clúster de actividad denominado Storm-2460, que Microsoft reveló que utilizó la falla en un conjunto limitado de ataques para distribuir un troyano llamado PipeMagic.
La explotación de CVE-2025-29824 también apunta a la tendencia de los actores de ransomware a utilizar ataques Zero-Dat para infiltrarse en sus objetivos. El año pasado, Symantec divulgó que el grupo Black Basta podría haber aprovechado la vulnerabilidad CVE-2024-26169, una escalamiento de privilegios en el Servicio de Informe de Errores de Windows (ERRS), como ataque de día cero.
Nueva técnica de omisión de EDR "Bring Your Own Installer" utilizada en el ataque del ransomware Babuk
La revelación se produce después de que los Servicios de Respuesta a Incidentes Stroz Friedberg de Aon detallaran una técnica de omisión local llamada "Bring Your Own Installer", que está siendo explotada por actores de amenazas para desactivar el software de seguridad de endpoints e implementar el ransomware Babuk.
El ataque, según la compañía, tuvo como objetivo el EDR de SentinelOne, explotando una falla en el proceso de actualización/degradación del agente de SentinelOne tras obtener acceso administrativo local en un servidor de acceso público.
"Bring Your Own Installer es una técnica que los actores de amenazas pueden utilizar para eludir la protección EDR en un host mediante la finalización programada del proceso de actualización del agente cuando la configuración es inadecuada", afirmaron los investigadores de Aon, John Ailes y Tim Mashni.
Este enfoque es destacable porque no se basa en controladores vulnerables ni otras herramientas para desactivar el software de seguridad. En cambio, aprovecha una ventana temporal en el proceso de actualización del agente para finalizar los agentes EDR en ejecución, dejando los dispositivos desprotegidos.
En concreto, se aprovecha del hecho de que instalar una versión diferente del software mediante un archivo MSI provoca la finalización de los procesos de Windows que ya se están ejecutando antes de que se realice la actualización.
El ataque Bring Your Own Installer consiste básicamente en ejecutar un instalador legítimo y forzar la finalización del proceso de instalación mediante la ejecución del comando "taskkill" tras apagar los servicios en ejecución. "Dado que los procesos de la versión anterior de SentinelOne se finalizaron durante la actualización y los nuevos procesos se interrumpieron antes de su inicio, el resultado final fue un sistema sin protección de SentinelOne", explicaron los investigadores de Aon.
SentinelOne, que afirmó que la técnica podría aplicarse a otros productos de protección de endpoints, ha implementado actualizaciones de su función de Autorización de Actualización Local para evitar que estas evasiones se repitan. Esto incluye habilitarla por defecto para todos los nuevos clientes.
Esta revelación se produce después de que Cisco revelara que una familia de ransomware conocida como Crytox ha empleado HRSword como parte de su cadena de ataque para desactivar las protecciones de seguridad de endpoints.
HRSword se ha observado previamente en ataques que distribuyen las cepas de ransomware BabyLockerKZ y Phobos, así como en aquellos diseñados para eliminar las soluciones de seguridad de AhnLab en Corea del Sur.
Nuevas Tendencias de Ransomware
Los ataques de ransomware también se han centrado cada vez más en los controladores de dominio para vulnerar las organizaciones, lo que permite a los ciberdelincuentes obtener acceso a cuentas privilegiadas y utilizar el acceso centralizado a la red para cifrar cientos o miles de sistemas en cuestión de minutos.
"En más del 78 % de los ciberataques operados por humanos, los ciberdelincuentes vulneran con éxito un controlador de dominio", reveló Microsoft el mes pasado. Además, en más del 35% de los casos, el principal dispositivo propagador (el sistema responsable de distribuir ransomware a gran escala) es un controlador de dominio, lo que pone de relieve su papel crucial para permitir el cifrado generalizado y la interrupción operativa.
Otros ataques de ransomware detectados en los últimos meses han aprovechado un nuevo ransomware como servicio (RaaS), conocido como PlayBoy Locker, que proporciona a ciberdelincuentes relativamente inexpertos un completo conjunto de herramientas que incluye cargas útiles de ransomware, paneles de gestión y servicios de soporte. "La plataforma PlayBoy Locker RaaS ofrece a los afiliados numerosas opciones para crear binarios de ransomware dirigidos a sistemas Windows, NAS y ESXi, lo que permite configuraciones personalizadas para adaptarse a diferentes requisitos operativos", declaró Cybereason. "Los operadores de PlayBoy Locker RaaS anuncian actualizaciones periódicas, funciones antidetección e incluso soporte al cliente para los afiliados".
Los acontecimientos también han coincidido con el lanzamiento de un cártel de ransomware por parte de DragonForce, un grupo de cibercrimen que se ha hecho con el control de RansomHub, un esquema de RaaS que cesó abruptamente sus operaciones a finales de marzo de 2025. El servicio de marca blanca está diseñado para permitir a los afiliados disfrazar el ransomware DragonForce como una cepa diferente por una tarifa adicional. El actor de amenazas afirma obtener un 20% de los pagos exitosos de ransomware, permitiendo a los afiliados conservar el 80% restante.
DragonForce surgió en agosto de 2023, posicionándose como una operación hacktivista pro-Palestina antes de convertirse en una operación de ransomware a gran escala. En las últimas semanas, el sindicato de RaaS ha llamado la atención por sus ataques a minoristas del Reino Unido como Harrods, Marks & Spencer y Co-Op. "Esta medida, junto con el intento de DragonForce de promocionarse como un 'cártel de ransomware', ilustra el deseo del grupo de aumentar su visibilidad en el panorama del software malicioso mediante la creación de un ecosistema. Bajo este modelo, DragonForce proporciona la infraestructura, el malware y los servicios de soporte continuo, mientras que sus afiliados ejecutan campañas bajo su propia marca".
Según un informe de BBC News, se cree que los ataques dirigidos al sector minorista del Reino Unido fueron orquestados por un conocido grupo de amenazas y una filial de RansomHub conocida como Scattered Spider (también conocido como Octo Tempest o UNC3944).
"Es plausible que los actores de amenazas, incluido UNC3944, consideren a las organizaciones minoristas como objetivos atractivos, dado que suelen poseer grandes cantidades de información personal identificable (PII) y datos financieros", declaró Mandiant, propiedad de Google. "Además, estas empresas podrían ser más propensas a pagar una demanda de rescate si un ataque de ransomware afecta su capacidad para procesar transacciones financieras".
Los ataques de ransomware experimentaron un aumento del 25 % en 2024, con un aumento del 53% en el número de sitios de filtración de grupos de ransomware. Según Bitsight, la fragmentación se debe a la llegada de grupos más pequeños y ágiles que atacan a organizaciones medianas que no siempre cuentan con los recursos necesarios para hacer frente a estas amenazas. "La proliferación de grupos de ransomware implica que crecen a un ritmo mayor al que las fuerzas del orden pueden neutralizarlos, y su enfoque en organizaciones más pequeñas implica que cualquiera puede ser un objetivo", afirmó el investigador de seguridad Dov Lerner.
Fuente: THN