Una reciente investigación del equipo de Symantec Threat Hunter, parte de Broadcom, reveló que un grupo vinculado al ransomware Play utilizó una vulnerabilidad crítica en Windows como día cero para comprometer a una organización estadounidense. Se trata de la CVE-2025-29824, un fallo de escalamiento de privilegios en el controlador Common Log File System (CLFS), que ya fue parchado por Microsoft.
Este grupo, también conocido como Balloonfly o PlayCrypt, es famoso por aplicar tácticas de doble extorsión: primero roban información sensible y luego cifran los sistemas para exigir un rescate. Según los hallazgos, los atacantes ingresaron a través de un dispositivo Cisco ASA expuesto a internet, aunque aún se desconoce el método exacto de propagación hacia otras máquinas Windows internas.
Durante el ataque se detectó el uso de Grixba, un ladrón de información personalizado relacionado anteriormente con Play. El exploit se depositó en la carpeta de Música bajo nombres engañosos como paloaltoconfig.exe, simulando ser software legítimo de Palo Alto Networks.
Además, los cibercriminales ejecutaron comandos para mapear los equipos del Active Directory y guardar los resultados en un archivo CSV. Durante la explotación, se generaron dos archivos en C:\ProgramData\SkyPDF: PDUDrv.blf, archivo de log del CLFS, y clssrv.inf, un DLL que se inyectó en el proceso winlogon.exe y desplegó dos archivos .bat.
El primero, servtask.bat, permitió escalar privilegios, extraer los registros SAM, SYSTEM y SECURITY, crear un nuevo usuario llamado LocalSvc y añadirlo al grupo de administradores. El segundo, cmdpostfix.bat, se encargó de eliminar evidencias del ataque. Curiosamente, no se llegó a activar ningún archivo de ransomware durante la intrusión, lo que sugiere un enfoque más sigiloso o en etapa inicial.
Symantec advierte que esta vulnerabilidad pudo haber estado en manos de múltiples actores antes del parche oficial. También destaca que la forma de explotación no coincide con otros grupos como Storm-2460, que usó la misma falla para distribuir un troyano llamado PipeMagic.
💡 Esta tendencia de usar vulnerabilidades de día cero no es nueva: en 2024, se sospecha que el grupo Black Basta explotó la CVE-2024-26169 en el Servicio de Reporte de Errores de Windows de forma similar.
Por otro lado, Aon (Stroz Friedberg) identificó una táctica emergente denominada “Bring Your Own Installer”, utilizada por grupos que despliegan ransomware como Babuk. Esta técnica aprovecha procesos de actualización mal configurados en soluciones EDR (como SentinelOne), permitiendo desactivarlas temporalmente al interrumpir el proceso de instalación mediante comandos como taskkill.
Este método no requiere drivers vulnerables ni herramientas complejas, solo manipula el flujo de instalación legítimo para dejar el equipo sin protección durante una ventana crítica. SentinelOne ya actualizó su sistema para evitar que esto ocurra nuevamente, activando por defecto su control de actualizaciones locales para nuevos clientes.
🔧 Cisco también alertó sobre ataques que usaron el malware HRSword para desactivar protecciones de endpoint, una táctica asociada a familias como Crytox, Phobos y BabyLockerKZ.
Los grupos de ransomware han evolucionado hacia modelos de negocio más estructurados, como el Ransomware-as-a-Service (RaaS). Un ejemplo reciente es PlayBoy Locker, que proporciona herramientas listas para usar a ciberdelincuentes sin experiencia técnica: payloads para Windows, NAS y ESXi, paneles de control, configuraciones personalizadas y soporte.
También destaca el surgimiento de un cartel digital liderado por DragonForce, que ha absorbido la operación de RansomHub. Esta organización ofrece un servicio de marca blanca para que los afiliados personalicen su ransomware, a cambio del 20% de los pagos por rescate.
DragonForce, que inició como un grupo hacktivista pro-Palestina en 2023, ha evolucionado hacia el crimen organizado digital. En las últimas semanas, se les ha vinculado a ataques contra minoristas británicos como Harrods, Marks and Spencer y Co-Op. Se cree que parte de estas ofensivas fueron ejecutadas por un afiliado de RansomHub conocido como Scattered Spider (UNC3944), especializado en objetivos con grandes volúmenes de datos personales y financieros.
📊 Según Microsoft, en el 78% de los ataques cibercriminales operados manualmente se logra comprometer al controlador de dominio. En más del 35%, ese mismo controlador se usa como nodo para distribuir ransomware en toda la red, demostrando su papel central en el impacto de los ataques.
El año pasado, los ataques de ransomware crecieron un 25% y los sitios de filtración de datos un 53%. Según Bitsight, esta fragmentación se debe al aumento de grupos más pequeños y ágiles, que ahora apuntan a organizaciones medianas con menos recursos para defenderse.
“La proliferación de bandas de ransomware supera la capacidad de las autoridades para frenarlas. Hoy, cualquier organización podría ser blanco de un ataque.” — Dov Lerner, investigador de ciberseguridad.
A recent investigation by Symantec’s Threat Hunter Team (Broadcom) revealed that a group linked to Play ransomware took advantage of a critical Windows vulnerability—CVE-2025-29824—before Microsoft had a chance to patch it. The flaw affects the CLFS driver and allows for privilege escalation.
The Play group—also known as Balloonfly or PlayCrypt—is notorious for double extortion attacks: exfiltrating data before encrypting systems. In this incident, attackers allegedly accessed the network through a public-facing Cisco ASA firewall, although the internal movement technique is still unclear.
A custom info-stealer called Grixba, previously tied to Play, was used in the intrusion. The malware was disguised as legitimate Palo Alto software and placed in the system’s Music folder under misleading names like paloaltoconfig.exe.
The attackers scanned the Active Directory for devices and exported the data into a CSV file. Two suspicious files were dropped in C:\ProgramData\SkyPDF: a CLFS log file (PDUDrv.blf) and a malicious DLL (clssrv.inf) that was injected into winlogon.exe, triggering two batch files.
The first script, servtask.bat, escalated privileges, extracted registry hives (SAM, SYSTEM, SECURITY), and created a new admin-level user. The second, cmdpostfix.bat, cleaned up the evidence. Interestingly, no ransomware payload was launched, suggesting a stealth phase or incomplete operation.
Symantec suspects this exploit may have been circulating among various threat actors before the official fix. They also ruled out links to Storm-2460, a separate group that used the same CVE to deploy a trojan called PipeMagic.
Meanwhile, Aon’s Stroz Friedberg team disclosed a new EDR bypass tactic named “Bring Your Own Installer”, used to disable SentinelOne and deploy ransomware like Babuk or Crytox.
The method manipulates MSI upgrade processes to kill running security agents during an update. No kernel drivers or exploit kits are needed—just well-timed commands like taskkill that disrupt the install sequence.
SentinelOne has since updated its Local Upgrade Authorization feature to prevent this type of bypass, enabling it by default for all new customers.
Cisco also reported the use of HRSword, a tool used to neutralize endpoint defenses during ransomware deployment.
Ransomware has become a business model. Platforms like PlayBoy Locker offer Ransomware-as-a-Service (RaaS) packages: customizable payloads for different systems, control panels, and even customer support for affiliates with little technical expertise.
At the cartel level, DragonForce has positioned itself as the successor to RansomHub, offering white-labeled ransomware with profit-sharing (20% for them, 80% for affiliates). Originally a pro-Palestine hacktivist group, DragonForce has evolved into a full-scale cybercrime syndicate.
Recently, they’ve been linked to attacks on British retailers such as Harrods, Marks and Spencer, and Co-Op, through affiliates like Scattered Spider (UNC3944)—a group known for targeting companies with high-value personal and financial data.
📊 According to Microsoft, domain controllers are compromised in 78% of human-operated attacks, and in over 35% of cases, they are the main source of ransomware distribution across networks.
Ransomware attacks rose 25% in 2024, while leak sites surged by 53%. Bitsight attributes this to the rise of smaller, agile groups focusing on mid-sized businesses with fewer defenses.
“The ransomware ecosystem is growing faster than law enforcement can react. These days, any organization can become a target.” — Dov Lerner, cybersecurity researcher.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
