Η συμμορία Ransomware Play εκμεταλλεύτηκε ένα ελάττωμα συστήματος αρχείων υψηλής διαχώρισης σε παράθυρα σε επιθέσεις μηδενικής ημέρας για να κερδίσει προνόμια συστήματος και να αναπτύξει κακόβουλο λογισμικό σε συμβιβασμένα συστήματα.
Η ευπάθεια, που παρακολουθείται ως CVE-2025-29824επισημάνθηκε από τη Microsoft ως εκμεταλλεύτηκε σε περιορισμένο αριθμό επιθέσεων και επιδιορθώθηκε κατά τη διάρκεια του περασμένου μήνα την Τρίτη.
“Οι στόχοι περιλαμβάνουν οργανισμούς στον τομέα της τεχνολογίας της πληροφορίας (IT) και των ακινήτων των Ηνωμένων Πολιτειών, στον χρηματοπιστωτικό τομέα στη Βενεζουέλα, στην ισπανική εταιρεία λογισμικού και στον τομέα του λιανικού εμπορίου στη Σαουδική Αραβία”, δήλωσε η Microsoft τον Απρίλιο.
Η Microsoft συνέδεσε αυτές τις επιθέσεις με τη συμμορία ransomware ransomware, λέγοντας ότι οι επιτιθέμενοι εγκατέστησαν το κακόβουλο λογισμικό backdoor, το οποίο χρησιμοποιήθηκε για να εγκαταλείψει τα CVE-2025-29824 εκμετάλλευση, να αναπτύξουν ωφέλιμα φορτία ransomware και σημειώσεις λύτρας μετά από κρυπτογραφικά αρχεία.
Από τότε, η ομάδα Hunter της Symantec έχει επίσης βρει στοιχεία που τους συνδέουν με τη λειτουργία Play Ransomware-as-a-Service, λέγοντας ότι οι επιτιθέμενοι έφτασαν ένα CVE-2025-29824 η κλιμάκωση προνομίων μηδενικής ημέρας που εκμεταλλεύτηκε μετά την παραβίαση του δικτύου ενός οργανισμού των ΗΠΑ.
“Αν και δεν αναπτύχθηκε ωφέλιμο φορτίο ransomware στην εισβολή, οι επιτιθέμενοι αναπτύσσουν το Grixba Infostealer, το οποίο είναι ένα προσαρμοσμένο εργαλείο που σχετίζεται με το Balloonfly, τους επιτιθέμενους πίσω από τη λειτουργία Ransomware Play”. Είπε η Symantec.
“Το Balloonfly είναι μια ομάδα εγκληματιών στον κυβερνοχώρο που δραστηριοποιείται τουλάχιστον από τον Ιούνιο του 2022 και χρησιμοποιεί το Play Ransomware (επίσης γνωστό ως PlayCrypt) σε επιθέσεις”.
Το εργαλείο S-Scanning και Εργαλείο-Κλεξίματος Πληροφοριών Grixba εντοπίστηκε για πρώτη φορά πριν από δύο χρόνια και οι χειριστές Ransomware χρησιμοποιούν συνήθως για να απαριθμήσουν τους χρήστες και τους υπολογιστές σε συμβιβασμένα δίκτυα.
Η συμμορία του Cybercrime Play εμφανίστηκε τον Ιούνιο του 2022 και είναι επίσης γνωστή για επιθέσεις διπλής εξάλειψης, στις οποίες τα θύματα πίεσης των θύματα της πληρώνουν να πληρώσουν λύτρα για να αποφύγουν τα κλεμμένα δεδομένα τους να διαρρεύσουν στο διαδίκτυο.
Τον Δεκέμβριο του 2023, το FBI εξέδωσε κοινή συμβουλευτική με την CISA και το Αυστραλιανό Κέντρο Ασφαλείας Κυβέρνησης (ACSC), προειδοποιώντας ότι η συμμορία Ransomware Play είχε παραβιάσει τα δίκτυα περίπου 300 οργανισμών παγκοσμίως από τον Οκτώβριο του 2023.
Τα προηγούμενα αξιοσημείωτα θύματα Ransomware Play περιλαμβάνουν το Cloud Computing Company Rackspace, τον γίγαντα του λιανοπωλητή αυτοκινήτων Arnold Clark, την πόλη Oakland στην Καλιφόρνια, την κομητεία του Ντάλλας, την Βελγική Πόλη της Αμβέρσας και, πιο πρόσφατα
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
