Los actores de amenaza vinculados a las operaciones de PlayRansomware explotaron una vulnerabilidad de día cero en Microsoft Windows antes de que ocurriera el parche el 8 de abril de 2025.
Una vulnerabilidad rastreada como CVE-2025-29824 afecta al controlador de Sistema de Archivos de Log de Log de Windows (CLFS), lo que permite a los atacantes aumentar los privilegios al acceso completo al sistema de los usuarios estándar.
El equipo de Hunter de Symantec Amenazen informó que un atacante del grupo de ransomware de juego (también conocido como Balloonfly o PlayCrypt) está apuntando a una organización no identificada de los Estados Unidos y utilizando el dispositivo de seguridad adaptativo Cisco (ASA) sin nombre de Cisco como punto de entrada.
Aunque no se implementó una carga útil de ransomware para la intrusión descubierta, el atacante utilizó una herramienta de integración basada en información personalizada llamada Grixba, que anteriormente se asoció con operaciones de ransomware de reproducción.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Respuesta a la Seguridad (MSRC) han identificado actividades de explotación como un grupo de amenazas llamado Storm-2460, que implementa malware de plomería en campañas de ransomware.
Los objetivos incluyeron organizaciones en la tecnología de la información de EE. UU. (TI) y el sector inmobiliario, el sector financiero de Venezuela, las compañías de software españolas y el sector minorista de Arabia Saudita.
Utilizando las vulnerabilidades de Windows de 0 días
“Los actores de amenaza de ransomware valoran la promoción posterior a la promoción de las exploits privilegiadas, ya que esto podría permitir que el acceso temprano se intensifique al acceso privilegiado”.
Las vulnerabilidades que recibieron un puntaje CVSS de 7.8 (alto) se abordaron como parte de la actualización del martes de parche para abril de 2025, arreglando un total de 121 vulnerabilidades.
El análisis técnico reveló que la explotación implica cadenas de ataque sofisticadas. La vulnerabilidad reside en el conductor del núcleo CLFS, lo que permite a los atacantes aprovechar el estado delgado. Mientras ejecutaba el exploit, el atacante creó un archivo en la ruta C: \ ProgramData \ SkyPDF, que contiene el DLL inyectado en el proceso Winlogon.exe.
Esto me permitió extraer las credenciales de la memoria LSASS utilizando herramientas como Sysinternals Procdump.exe, crear nuevos usuarios de administración y establecer persistencia.
El grupo Play Ransomware, que ha estado activo desde junio de 2022, es conocido por implementar tácticas de doble expansión en las que se extraen datos confidenciales antes del cifrado.
Este grupo ha desarrollado previamente herramientas personalizadas como Grixba. Está disfrazado de software de seguridad legítimo, como aplicaciones Fake Sentinelone y Palo Alto Networks.
Los investigadores señalaron que los actores de ransomware rara vez usan vulnerabilidades de día cero, pero esto indica una escalada de capacidades.
Las organizaciones recomiendan encarecidamente que se aplique la actualización de seguridad publicada el 8 de abril de 2025, especialmente a los sistemas que ejecutan versiones vulnerables de Windows.
Microsoft afirma específicamente que los clientes que ejecutan la versión 24h2 de Windows 11 no se ven afectados por la vulnerabilidad debido a la mitigación de seguridad.
Este incidente destaca la importancia de la evolución continua de las tácticas de ransomware y el parche rápido, debido a las vulnerabilidades que permiten la escalada de ransomware.
COI
Esta es una tabla de métricas de compromiso (IOC) vinculadas para reproducir campañas de ransomware utilizando CVE-2025-29824.
Hashfilenamedescriptionsetection/Malware Name6030C4381B8B5D5C57341292316723A89F1BDBD2D2D10BB67C4D06B124242AFD05GT_NET.EXEXBA INFOSTEALER Toolinfostealer.grixba1858efe4f9037e5efbadaaaaaaaaaa8ad096f7244c4c4aeade72c51dad23d05bego.execve-2025-29824 explotación BinaryN/A19C21ADBCB28888888C4FA1F41EAA6CBFBE20D85C3E1DA61A96A53BA18F9CLSRV.INFDLL INJECTO EN winlogon.exeExPloitPayLoad16d7374b4f9777777779389c7155192b5db70ee44a7645625eCf8163c00da882838388cmdpostfix.batartifact script batch file1b2cba01ae6707ce694073018d 948f82340b9c41fb2b2b2bc49769f9a0be37071e1servtask.batprivilegeescalation/script creado por el usuario Batchfile1293b455b5b7e1c2063a8781f3c169cf8ef2b1d06e6b7a086b7b44f37f555729bdpaloaltoconfig.dllmas. DLL1AF260C172BAFFD0E8B2671FD0C84E607AC9B2C8BEB557DF43CF5DF6E103CBBBB7AdPALOALLOALTOCONFIG.EXASEMASQUENADO ExE1430D1364D0D0A60FACD9B73E674FADDF63A8F77649CD10BA855DF7E49189980B1DAY.EXESUPECTO Utilizado relacionado con el tiempo de comunicación relacionada con el tope.
El fraude fiscal se está volviendo más inteligente: verifique los dominios maliciosos en la suite de investigación de dominio
