Agentes de amenazas vinculados a la familia de ransomware Play explotaron una
falla de seguridad recientemente parcheada en Microsoft Windows como un ataque
Zero-Day en un ataque dirigido a una organización anónima en Estados Unidos.
El ataque, según el equipo de Symantec,
aprovechó la vulnerabilidad
CVE-2025-29824, una falla de escalamiento de privilegios en el controlador del
Windows Common Log File System (CLFS), que
Microsoft la parcheó el mes pasado.
Play, también conocido como Balloonfly y PlayCrypt, es conocido por sus
tácticas de doble extorsión, en las que se exfiltran datos confidenciales
antes del cifrado a cambio de un rescate. Está activo desde al menos mediados
de 2022.
En la actividad observada por Symantec, se dice que los actores de amenazas
probablemente utilizaron un dispositivo de seguridad de Cisco ASA de acceso
público como punto de entrada, aprovechando un método aún no determinado para
acceder a otra máquina Windows en la red objetivo.
El ataque se caracteriza por el uso de
Grixba, un ladrón de información a medida previamente atribuido a Play, y un
exploit para CVE-2025-29824 que se instala en la carpeta Music, dándole
nombres que simulan ser software de Palo Alto Networks (por ejemplo,
«paloaltoconfig.exe» y «paloaltoconfig.dll»).
También se ha observado que los actores de amenazas ejecutan comandos para
recopilar información sobre todos los equipos disponibles en el Active
Directory de las víctimas y guardar los resultados en un archivo CSV.
«Durante la ejecución del exploit, se crean dos archivos en la ruta
C:\ProgramData\SkyPDF. El primer archivo, PDUDrv.blf, es un archivo de
registro CRFS y es un artefacto creado durante el exploit. El segundo
archivo, clssrv.inf, es una DLL que se inyecta en el proceso winlogon.exe.
Esta DLL puede instalar dos archivos por lotes adicionales».
Uno de los archivos por lotes, llamado «servtask.bat», se utiliza para
escalar privilegios, volcar las secciones del Registro SAM, SYSTEM y SECURITY,
crear un nuevo usuario llamado «LocalSvc» y asignarlo al grupo
Administrador. El otro archivo por lotes, «cmdpostfix.bat», se utiliza
para limpiar los rastros de explotación.
Symantec afirmó que no se implementó ninguna carga útil de ransomware en la
intrusión. Los hallazgos muestran que los exploits para CVE-2025-29824 podrían
haber estado disponibles para múltiples actores de amenazas antes de que
Microsoft lo corrigiera.
Cabe destacar que la naturaleza de la explotación detallada por la empresa de
ciberseguridad no se superpone con otro clúster de actividad denominado
Storm-2460, que Microsoft reveló que utilizó la falla en un conjunto limitado de
ataques para distribuir un troyano llamado PipeMagic.
La explotación de CVE-2025-29824 también apunta a la tendencia de los actores
de ransomware a utilizar ataques Zero-Dat para infiltrarse en sus objetivos.
El año pasado,
Symantec divulgó que el grupo Black Basta
podría haber aprovechado la vulnerabilidad CVE-2024-26169, una escalamiento de
privilegios en el Servicio de Informe de Errores de Windows (ERRS), como
ataque de día cero.
Nueva técnica de omisión de EDR «Bring Your Own Installer» utilizada en el
ataque del ransomware Babuk
La revelación se produce después de que los Servicios de Respuesta a
Incidentes Stroz Friedberg de Aon detallaran una técnica de omisión local
llamada
«Bring Your Own Installer», que está siendo explotada por actores de amenazas para desactivar el
software de seguridad de endpoints e implementar el ransomware Babuk.
El ataque, según la compañía, tuvo como objetivo el EDR de SentinelOne,
explotando una falla en el proceso de actualización/degradación del agente de
SentinelOne tras obtener acceso administrativo local en un servidor de acceso
público.
«Bring Your Own Installer es una técnica que los actores de amenazas pueden
utilizar para eludir la protección EDR en un host mediante la finalización
programada del proceso de actualización del agente cuando la configuración
es inadecuada», afirmaron los investigadores de Aon, John Ailes y Tim Mashni.
Este enfoque es destacable porque no se basa en controladores vulnerables ni
otras herramientas para desactivar el software de seguridad. En cambio,
aprovecha una ventana temporal en el proceso de actualización del agente para
finalizar los agentes EDR en ejecución, dejando los dispositivos
desprotegidos.
En concreto, se aprovecha del hecho de que instalar una versión diferente del
software mediante un archivo MSI provoca la finalización de los procesos de
Windows que ya se están ejecutando antes de que se realice la actualización.
El ataque Bring Your Own Installer consiste básicamente en ejecutar un
instalador legítimo y forzar la finalización del proceso de instalación
mediante la ejecución del comando «taskkill» tras apagar los servicios
en ejecución.
«Dado que los procesos de la versión anterior de SentinelOne se finalizaron
durante la actualización y los nuevos procesos se interrumpieron antes de su
inicio, el resultado final fue un sistema sin protección de SentinelOne», explicaron los investigadores de Aon.
SentinelOne, que afirmó que la técnica podría aplicarse a otros productos de
protección de endpoints, ha implementado actualizaciones de su función de Autorización
de
Actualización Local
para evitar que estas evasiones se repitan. Esto incluye habilitarla por
defecto para todos los nuevos clientes.
Esta revelación se produce después de que
Cisco revelara
que una familia de ransomware conocida como Crytox ha empleado HRSword como
parte de su cadena de ataque para desactivar las protecciones de seguridad de
endpoints.
HRSword se ha observado previamente en ataques que distribuyen las cepas de
ransomware
BabyLockerKZ
y
Phobos, así como en aquellos diseñados para eliminar las soluciones de seguridad de
AhnLab en Corea del Sur.
Nuevas Tendencias de Ransomware
Los ataques de ransomware también se han centrado cada vez más en los
controladores de dominio para vulnerar las organizaciones, lo que permite a
los ciberdelincuentes obtener acceso a cuentas privilegiadas y utilizar el
acceso centralizado a la red para cifrar cientos o miles de sistemas en
cuestión de minutos.
«En más del 78 % de los ciberataques operados por humanos, los
ciberdelincuentes vulneran con éxito un controlador de dominio»,
reveló Microsoft
el mes pasado.
Además, en más del 35% de los casos, el principal dispositivo propagador
(el sistema responsable de distribuir ransomware a gran escala) es un
controlador de dominio, lo que pone de relieve su papel crucial para
permitir el cifrado generalizado y la interrupción operativa.
Otros ataques de ransomware detectados en los últimos meses han aprovechado un
nuevo ransomware como servicio (RaaS), conocido como PlayBoy Locker, que
proporciona a ciberdelincuentes relativamente inexpertos un completo conjunto
de herramientas que incluye cargas útiles de ransomware, paneles de gestión y
servicios de soporte.
«La plataforma PlayBoy Locker RaaS ofrece a los afiliados numerosas
opciones para crear binarios de ransomware dirigidos a sistemas Windows, NAS
y ESXi, lo que permite configuraciones personalizadas para adaptarse a
diferentes requisitos operativos»,
declaró Cybereason.
«Los operadores de PlayBoy Locker RaaS anuncian actualizaciones periódicas,
funciones antidetección e incluso soporte al cliente para los afiliados».
Los acontecimientos también han coincidido con el lanzamiento de un cártel de
ransomware por parte de
DragonForce, un grupo de cibercrimen que se ha hecho con el control de RansomHub, un
esquema de RaaS que cesó abruptamente sus operaciones a finales de marzo de
2025. El servicio de marca blanca está diseñado para permitir a los afiliados
disfrazar el ransomware DragonForce como una cepa diferente por una tarifa
adicional. El actor de amenazas afirma obtener un 20% de los pagos exitosos de
ransomware, permitiendo a los afiliados conservar el 80% restante.
DragonForce surgió en agosto de 2023, posicionándose como una operación hacktivista pro-Palestina antes de
convertirse en una operación de ransomware a gran escala. En las últimas
semanas, el sindicato de RaaS ha llamado la atención por sus ataques a
minoristas del Reino Unido como Harrods, Marks & Spencer y Co-Op. «Esta medida, junto con el intento de DragonForce de promocionarse como un
‘cártel de ransomware’, ilustra el deseo del grupo de aumentar su
visibilidad en el panorama del software malicioso mediante la creación de un
ecosistema. Bajo este modelo, DragonForce proporciona la infraestructura, el
malware y los servicios de soporte continuo, mientras que sus afiliados
ejecutan campañas bajo su propia marca».
Según un
informe de BBC News, se cree que los ataques dirigidos al sector minorista del Reino Unido
fueron orquestados por un conocido grupo de amenazas y una filial de RansomHub
conocida como
Scattered Spider
(también conocido como Octo Tempest
o
UNC3944).
«Es plausible que los actores de amenazas, incluido UNC3944, consideren a
las organizaciones minoristas como objetivos atractivos, dado que suelen
poseer grandes cantidades de información personal identificable (PII) y
datos financieros»,
declaró Mandiant, propiedad de Google.
«Además, estas empresas podrían ser más propensas a pagar una demanda de
rescate si un ataque de ransomware afecta su capacidad para procesar
transacciones financieras».
Los ataques de ransomware experimentaron un aumento del 25 % en 2024, con un
aumento del 53% en el número de sitios de filtración de grupos de ransomware.
Según Bitsight, la fragmentación se debe a la llegada de grupos más pequeños y ágiles que
atacan a organizaciones medianas que no siempre cuentan con los recursos
necesarios para hacer frente a estas amenazas. «La proliferación de grupos de ransomware implica que crecen a un ritmo
mayor al que las fuerzas del orden pueden neutralizarlos, y su enfoque en
organizaciones más pequeñas implica que cualquiera puede ser un objetivo», afirmó el investigador de seguridad Dov Lerner.
Fuente:
THN