Play ransomware: злоумышленники использовали эксплойт CVE-2025-29824 для атаки на компанию в США

Ключевые моменты:

• Атака через CVE-2025-29824 до патча.
• Использование Grixba и скрытых инструментов.
• Повышение привилегий через уязвимость в CLFS.
• Создание скрытого администратора и кража данных.
• Подобные атаки редки, но уже встречались у других ransomware-групп.

Хотя вредоносное ПО для шифрования не было развёрнуто, злоумышленники применили информационный стилер Grixba, связанный с группировкой Balloonfly. Они также использовали другие инструменты, маскирующиеся под ПО Palo Alto, и собрали данные о компьютерах в Active Directory.

Эксплойт работал через конкурентные операции с драйвером CLFS, что привело к уязвимости use-after-free и позволило изменять память ядра. В результате атакующие создали нового пользователя с правами администратора и похитили данные реестра (SAM, SYSTEM, SECURITY).

Microsoft подтвердила, что до патча уязвимость использовали несколько групп, включая Storm-2460, но их методы отличались от описанных в атаке Balloonfly.

Это не первый случай, когда ransomware-группы применяют нулевые дни — ранее Black Basta, возможно, использовала CVE-2024-26169 до исправления.

SHA256

• 293b455b5b7e1c2063a8781f3c169cf8ef2b1d06e6b7a086b7b44f37f55729bd
• 430d1364d0d0a60facd9b73e674faddf63a8f77649cd10ba855df7e49189980b
• 6030c4381b8b5d5c5734341292316723a89f1bdbd2d10bb67c4d06b1242afd05
• 6d7374b4f977f689389c7155192b5db70ee44a7645625ecf8163c00da8828388
• 858efe4f9037e5efebadaaa70aa8ad096f7244c4c4aeade72c51ddad23d05bfe
• 9c21adbcb2888daf14ef55c4fa1f41eaa6cbfbe20d85c3e1da61a96a53ba18f9
• af260c172baffd0e8b2671fd0c84e607ac9b2c8beb57df43cf5df6e103cbb7ad
• b2cba01ae6707ce694073018d948f82340b9c41fb2b2bc49769f9a0be37071e1
• b3ee068bf282575ac7eb715dd779254889e0b8a55aba2b7a1700fc8aa4dcb1da
• ba05d05d51d4f7bfceb3821a3754e7432248f5c3d5a450391a0631d56bbce4c2