Η συμμορία ransomware Play εκμεταλλεύτηκε ένα σοβαρό κενό ασφαλείας στο σύστημα αρχείων καταγραφής της Windows (Common Log File System), πραγματοποιώντας επιθέσεις τύπου zero-day για να αποκτήσει προνόμια επιπέδου SYSTEM και να εγκαταστήσει κακόβουλο λογισμικό σε παραβιασμένα συστήματα.
Δείτε επίσης: Η ομάδα LockBit ransomware υπέστη σοβαρή διαρροή δεδομένων
Το συγκεκριμένο κενό ασφαλείας, με κωδικό CVE-2025-29824, χαρακτηρίστηκε από τη Microsoft ως αξιοποιημένο σε περιορισμένο αριθμό επιθέσεων και διορθώθηκε κατά την ενημέρωση Patch Tuesday του περασμένου μήνα. Η Microsoft συνέδεσε αυτές τις επιθέσεις με τη συμμορία ransomware RansomEXX, αναφέροντας ότι οι επιτιθέμενοι εγκατέστησαν το κακόβουλο λογισμικό PipeMagic backdoor, το οποίο χρησιμοποιήθηκε για την εκτέλεση του CVE-2025-29824, την εγκατάσταση φορτίων ransomware και την εμφάνιση σημειωμάτων λύτρων μετά την κρυπτογράφηση των αρχείων.
Έκτοτε, η ομάδα Threat Hunter της Symantec εντόπισε επίσης αποδείξεις που συνδέουν τη δραστηριότητα αυτή με την πλατφόρμα ransomware-as-a-service Play, αναφέροντας ότι οι επιτιθέμενοι χρησιμοποίησαν το CVE-2025-29824 zero-day για αύξηση προνομίων, αφού πρώτα παραβίασαν το δίκτυο ενός οργανισμού στις Ηνωμένες Πολιτείες.
Το προσαρμοσμένο εργαλείο σάρωσης δικτύου και κλοπής πληροφοριών Grixba εντοπίστηκε για πρώτη φορά πριν από δύο χρόνια και οι χειριστές του ransomware Play το χρησιμοποιούν συνήθως για την καταγραφή χρηστών και υπολογιστών σε παραβιασμένα δίκτυα.
Δείτε ακόμα: Νέα παράκαμψη EDR “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις ransomware
Η εγκληματική ομάδα Play έκανε την εμφάνισή της τον Ιούνιο του 2022 και είναι επίσης γνωστή για τις επιθέσεις διπλού εκβιασμού, στις οποίες οι συνεργάτες της εξαναγκάζουν τα θύματα να πληρώσουν λύτρα ώστε να μην διαρρεύσουν τα κλεμμένα δεδομένα τους στο διαδίκτυο.
Τον Δεκέμβριο του 2023, το FBI εξέδωσε κοινή προειδοποίηση μαζί με τη CISA και το Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC), προειδοποιώντας ότι μέχρι τον Οκτώβριο του 2023, η συμμορία Play είχε παραβιάσει τα δίκτυα περίπου 300 οργανισμών παγκοσμίως.
Μεταξύ των πιο γνωστών θυμάτων της Play περιλαμβάνονται η εταιρεία cloud computing Rackspace, ο κολοσσός εμπορίας αυτοκινήτων Arnold Clark, η πόλη του Όκλαντ στην Καλιφόρνια, η κομητεία του Ντάλας, η βελγική πόλη της Αμβέρσας, καθώς και πιο πρόσφατα ο αμερικανικός προμηθευτής ημιαγωγών Microchip Technology και η αλυσίδα ντόνατ Krispy Kreme.
Δείτε επίσης: Μείωση ransomware επιθέσεων τον Απρίλιο (+ σημαντικότερα περιστατικά)
Κάτι σχετικό με τα παραπάνω είναι ότι οι συμμορίες ransomware όπως η Play ακολουθούν πλέον εξελιγμένες τακτικές εισβολής, παρόμοιες με αυτές κρατικά υποστηριζόμενων ομάδων. Συγκεκριμένα, χρησιμοποιούν εργαλεία όπως το Grixba για αναγνώριση δικτύου, μη ανιχνεύσιμα backdoors για παραμονή στο σύστημα και τεχνικές διπλού εκβιασμού για να μεγιστοποιήσουν την πίεση στα θύματα. Το γεγονός ότι έχουν στοχεύσει οργανισμούς όπως δήμους, εταιρείες cloud computing και προμηθευτές ημιαγωγών δείχνει ότι εστιάζουν σε κρίσιμες υποδομές με μεγάλο αντίκτυπο σε περίπτωση διακοπής.
Πηγή: bleepingcomputer
