Play ransomware usa vulnerabilidade zero-day do Windows em ataque

São Paulo — InkDesign News — Dois grupos de ransomware exploraram uma falha crítica de escalonamento de privilégios no Windows, identificada como CVE-2025-29824, antes da liberação do patch pela Microsoft em abril de 2025.

Vetor de ataque

A vulnerabilidade CVE-2025-29824 é um zero-day no driver Windows Common Log File System, que gerencia logs de serviços e aplicações do sistema operacional. A falha permite elevação de privilégios a nível de sistema, possibilitando que invasores obtenham controle completo das máquinas comprometidas.

O grupo Storm-2460 foi o primeiro a explorar a falha para implantar ransomware em organizações nos EUA, Venezuela, Espanha e Arábia Saudita, utilizando um exploit fileless que atua em memória. Posteriormente, o grupo Balloonfly, operador do ransomware Play, também explorou a mesma falha em uma vítima nos EUA, mas em vez de implantar ransomware, distribuiu um infostealer personalizado chamado Grixba, além de diversas ferramentas maliciosas, algumas mascaradas como software legítimo da Palo Alto.

Impacto e resposta

Na infiltração observada pela Symantec, o acesso inicial parece ter sido obtido por meio de um firewall Cisco exposto publicamente, seguido de movimento lateral até a máquina Windows vulnerável, onde o exploit foi aplicado. A Microsoft destacou a gravidade da vulnerabilidade, com score CVSS de 7.8, e recomendou atualizações emergenciais para mitigar riscos associados à escalada de privilégios, fundamental para evitar persistência e movimentação lateral em ataques de ransomware.

“A Microsoft recomenda que as organizações priorizem a aplicação das atualizações de segurança para vulnerabilidades de elevação de privilégio, adicionando uma camada de defesa contra ataques de ransomware caso os invasores obtenham acesso inicial.”
(“Microsoft highly recommends that organizations prioritize applying security updates for elevation of privilege vulnerabilities to add a layer of defense against ransomware attacks if threat actors are able to gain an initial foothold.”)

— Microsoft, Advisory CVE-2025-29824

Análise e recomendações

O grupo Balloonfly, ativo desde 2022, emprega táticas de dupla extorsão, exfiltrando dados antes de iniciar a criptografia. Conhecido como Play ransomware, o grupo emprega ferramentas legítimas como Cobalt Strike, Mimikatz e WinPEAS para roubo de credenciais, escalonamento de privilégios e movimentação lateral, dificultando a detecção.

“O Play ransomware se destaca como um dos grupos de extorsão cibernética mais agressivos, usando táticas avançadas para infiltrar, persistir e evadir detecção.”
(“Play ransomware has emerged as one of the most aggressive cyber extortion groups, using advanced tactics, techniques, and procedures (TTPs) to infiltrate, persist, and evade detection.”)

— Picus Security, Análise Play Ransomware

Especialistas recomendam a aplicação imediata do patch disponibilizado pela Microsoft, monitoramento contínuo de redes e segmentação de ambientes para limitar o impacto potencial de intrusões que utilizem essa vulnerabilidade.

Com a crescente sofisticação das técnicas e o uso de exploits zero-day, é esperado que esses grupos continuem a evoluir seus métodos, exigindo respostas rápidas e eficazes das equipes de segurança cibernética corporativas e infraestruturas críticas.

Leia mais sobre cibersegurança | Últimas ameaças digitais

Fonte: (Dark Reading – Segurança Cibernética)