Grupo hacker Play explora falha Zero-Day no Windows para invadir organização nos EUA

Um grupo hacker com ligações à família de ransomware Play explorou uma vulnerabilidade de segurança recentemente corrigida no Microsoft Windows como um ataque zero-day, tendo como alvo uma organização não identificada nos Estados Unidos. A informação foi divulgada pela equipe Symantec Threat Hunter, parte da Broadcom.

O ataque se aproveitou da CVE-2025-29824, uma falha de escalada de privilégios no driver Common Log File System (CLFS). A correção para essa vulnerabilidade foi liberada pela Microsoft no mês passado. O ransomware Play, também conhecido como Balloonfly e PlayCrypt, é notório por suas táticas de dupla extorsão, onde dados confidenciais são extraídos antes da criptografia, exigindo um resgate em troca da sua recuperação. O grupo está ativo desde pelo menos meados de 2022.

Nas atividades observadas pela Symantec, os invasores provavelmente utilizaram um dispositivo Cisco Adaptive Security Appliance (ASA) exposto à internet como ponto de entrada. A partir daí, eles teriam se movido para outra máquina Windows na rede alvo através de um método ainda não determinado.

O ataque se destaca pelo uso do Grixba, um ladrão de informações personalizado previamente atribuído ao Play, e por um exploit para a CVE-2025-29824 que é deixado na pasta Música, com nomes que se disfarçam como software da Palo Alto Networks (por exemplo, "paloaltoconfig.exe" e "paloaltoconfig.dll"). Os hackers também foram observados executando comandos para coletar informações sobre todas as máquinas disponíveis no Active Directory da vítima e salvar os resultados em um arquivo CSV.

"Durante a execução do exploit, dois arquivos são criados no caminho C:\ProgramData\SkyPDF," explicou a Symantec. "O primeiro arquivo, PDUDrv.blf, é um arquivo de log base do Common Log File System e é um artefato criado durante a exploração. O segundo arquivo, clssrv.inf, é uma DLL que é injetada no processo winlogon.exe. Esta DLL tem a capacidade de soltar dois arquivos batch adicionais."

Um dos arquivos batch, chamado "servtask.bat," é usado para escalar privilégios, extrair as hives SAM, SYSTEM e SECURITY do Registro, criar um novo usuário chamado "LocalSvc" e adicioná-lo ao grupo de Administradores. O outro arquivo batch, "cmdpostfix.bat," é usado para limpar os rastros da exploração.

A Symantec informou que nenhuma carga de ransomware foi implantada na intrusão. As descobertas sugerem que exploits para a CVE-2025-29824 podem ter estado disponíveis para múltiplos grupos hackers antes de sua correção pela Microsoft.

É importante notar que a natureza da exploração detalhada pela empresa de segurança cibernética não se sobrepõe a outra atividade apelidada de Storm-2460, que a Microsoft divulgou ter usado a falha em um conjunto limitado de ataques para entregar um trojan chamado PipeMagic. A exploração da CVE-2025-29824 também aponta para a tendência de grupos de ransomware utilizarem vulnerabilidades zero-day para se infiltrar em alvos. No ano passado, a Symantec revelou que o grupo Black Basta pode ter se aproveitado da CVE-2024-26169, uma escalada de privilégios no Serviço de Relatório de Erros do Windows, como um zero-day.

A divulgação ocorre em um momento em que a Stroz Friedberg Incident Response Services da Aon detalhou uma técnica de bypass local chamada Bring Your Own Installer, que está sendo explorada por hackers para desativar softwares de segurança de endpoint e implantar o ransomware Babuk. O ataque, segundo a empresa, teve como alvo o sistema Endpoint Detection and Response (EDR) da SentinelOne, explorando uma falha no processo de atualização/downgrade do agente SentinelOne após obter acesso administrativo local em um servidor acessível publicamente.

"Bring Your Own Installer é uma técnica que pode ser usada por hackers para burlar a proteção EDR em um host através do encerramento cronometrado do processo de atualização do agente quando configurado inadequadamente," disseram os pesquisadores da Aon, John Ailes e Tim Mashni. A abordagem é notável porque não depende de drivers vulneráveis ou outras ferramentas para desarmar o software de segurança. Em vez disso, explora uma janela de tempo no processo de atualização do agente para encerrar os agentes EDR em execução, deixando os dispositivos desprotegidos. Especificamente, abusa do fato de que a instalação de uma versão diferente do software usando um arquivo MSI faz com que ele encerre os processos do Windows já em execução antes que a atualização seja realizada.

O ataque Bring Your Own Installer essencialmente envolve a execução de um instalador legítimo e o encerramento forçado do processo de instalação emitindo um comando "taskkill" depois que ele desliga os serviços em execução. "Como a versão antiga dos processos SentinelOne foi encerrada durante a atualização, e os novos processos foram interrompidos antes de serem iniciados, o resultado final foi um sistema sem proteção SentinelOne," afirmaram os pesquisadores da Aon. A SentinelOne, que disse que a técnica poderia ser aplicada contra outros produtos de proteção de endpoint, já lançou atualizações para seu recurso de Autorização de Upgrade Local para mitigar tais bypasses. Isso inclui habilitá-lo por padrão para todos os novos clientes.

A divulgação também coincide com a revelação da Cisco de que uma família de ransomware conhecida como Crytox empregou o HRSword como parte de sua cadeia de ataque para desativar proteções de segurança de endpoint. O HRSword foi previamente observado em ataques que entregavam as cepas de ransomware BabyLockerKZ e Phobos, bem como aqueles projetados para encerrar as soluções de segurança da AhnLab na Coreia do Sul.

Os ataques de ransomware também têm direcionado cada vez mais seus esforços para controladores de domínio para invadir organizações, permitindo que os hackers obtenham acesso a contas privilegiadas e utilizem o acesso centralizado à rede para criptografar centenas ou milhares de sistemas em minutos. "Mais de 78% dos ataques cibernéticos operados por humanos, os hackers conseguem invadir um controlador de domínio," revelou a Microsoft no mês passado. "Além disso, em mais de 35% dos casos, o dispositivo de propagação primário – o sistema responsável por distribuir ransomware em grande escala – é um controlador de domínio, destacando seu papel crucial na habilitação da criptografia generalizada e da interrupção operacional."

Outros ataques de ransomware detectados nos últimos meses utilizaram um novo Ransomware-as-a-Service (RaaS) conhecido como PlayBoy Locker, que fornece a cibercriminosos relativamente inexperientes um kit de ferramentas abrangente, compreendendo payloads de ransomware, painéis de gerenciamento e serviços de suporte. "A plataforma PlayBoy Locker RaaS oferece aos afiliados inúmeras opções para construir binários de ransomware que visam sistemas Windows, NAS e ESXi, permitindo configurações personalizadas para atender a diferentes requisitos operacionais," disse a Cybereason. "Os operadores do PlayBoy Locker RaaS anunciam atualizações regulares, recursos anti-detecção e até suporte ao cliente para afiliados."

Os desenvolvimentos também coincidiram com o lançamento de um cartel de ransomware pela DragonForce, um grupo de e-crime que reivindicou o controle do RansomHub, um esquema RaaS que cessou abruptamente suas operações no final de março de 2025. O serviço de branding white-label é projetado para permitir que os afiliados disfarcem o ransomware DragonForce como uma cepa diferente por uma taxa adicional. O grupo hacker afirma ficar com 20% dos pagamentos de ransomware bem-sucedidos, permitindo que os afiliados fiquem com os 80% restantes.

A DragonForce surgiu em agosto de 2023, posicionando-se inicialmente como uma operação hacktivista pró-Palestina antes de evoluir para uma operação de ransomware completa. Nas últimas semanas, o sindicato RaaS tem atraído atenção por seus ataques a varejistas do Reino Unido, como Harrods, Marks and Spencer e Co-Op. "Essa mudança, juntamente com o esforço da DragonForce para se apresentar como um 'cartel de ransomware', ilustra o desejo do grupo de elevar seu perfil no cenário do cibercrime, habilitando um ecossistema," disse a SentinelOne. "Sob este modelo, a DragonForce fornece a infraestrutura, o malware e os serviços de suporte contínuos, enquanto os afiliados executam campanhas sob sua própria marca."

De acordo com um relatório da BBC News, os ataques direcionados ao setor de varejo do Reino Unido são considerados orquestrados por um notório grupo hacker e um afiliado do RansomHub conhecido como Scattered Spider (também conhecido como Octo Tempest ou UNC3944). "É plausível que hackers, incluindo o UNC3944, vejam as organizações de varejo como alvos atraentes, dado que normalmente possuem grandes quantidades de informações de identificação pessoal (PII) e dados financeiros," disse a Mandiant, de propriedade do Google. "Além disso, essas empresas podem ser mais propensas a pagar uma demanda de resgate se um ataque de ransomware afetar sua capacidade de processar transações financeiras."

Os ataques de ransomware tiveram um aumento de 25% em 2024, com o número de sites de vazamento de grupos de ransomware aumentando em 53%. A fragmentação, segundo a Bitsight, é o resultado do surgimento de gangues menores e mais ágeis que estão atacando organizações de médio porte que nem sempre têm os recursos para enfrentar tais ameaças. "A proliferação de grupos de ransomware significa que eles estão aumentando mais rapidamente do que as autoridades policiais conseguem desmantelá-los, e seu foco em organizações menores significa que qualquer um pode ser um alvo," disse o pesquisador de segurança Dov Lerner.

Via - THN