Aktor ancaman dengan tautan ke drama keluarga Ransomware mengeksploitasi cacat keamanan yang baru-baru ini ditambal di Microsoft Windows sebagai nol hari sebagai bagian dari serangan yang menargetkan organisasi yang tidak disebutkan namanya di Amerika Serikat.
Serangan, sesuai dengan tim Hunter Ancaman Symantec, bagian dari Broadcom, Leveraged CVE-2025-29824, cacat eskalasi hak istimewa dalam driver Common Log File System (CLFS). Itu ditambal oleh Microsoft bulan lalu.
Play, juga disebut BalloVly dan PlayCrypt, dikenal karena taktik pemerasan ganda, di mana data sensitif dieksfiltrasi sebelum enkripsi dengan imbalan tebusan. Ini aktif sejak setidaknya pertengahan 2022.
Dalam kegiatan yang diamati oleh Symantec, para aktor ancaman dikatakan kemungkinan telah memanfaatkan alat keamanan adaptif Cisco (ASA) yang menghadap publik sebagai titik masuk, mengambil keuntungan dari metode yang belum ditentukan untuk pindah ke mesin Windows lain di jaringan target.
Serangan ini terkenal karena penggunaan Grixba, pencuri informasi yang dipesan lebih dahulu yang sebelumnya dikaitkan dengan bermain dan eksploitasi untuk CVE-2025-29824 yang dijatuhkan di folder musik, memberikan nama yang menyamar sebagai perangkat lunak Palo Alto Networks (EG, “Paloaltoconfig.exe dan” Paloalcon.
Aktor ancaman juga telah diamati menjalankan perintah untuk mengumpulkan informasi tentang semua mesin yang tersedia di Direktori Aktif Korban dan menyimpan hasilnya ke file CSV.
“Selama pelaksanaan eksploitasi, dua file dibuat di jalur C: \ ProgramData \ skypdf,” jelas Symantec. “File pertama, pdudrv.blf, adalah file log dasar sistem log umum dan merupakan artefak yang dibuat selama eksploitasi.”
“File kedua, clssrv.inf, adalah DLL yang disuntikkan ke dalam proses winlogon.exe. DLL ini memiliki kemampuan untuk menjatuhkan dua file batch tambahan.”
Salah satu file batch, yang disebut “servTask.bat,” digunakan untuk meningkatkan hak istimewa, membuang sarang SAM, sistem, dan registri keamanan, membuat pengguna baru bernama “LocalsVC,” dan ke grup administrator. File batch lainnya, “cmdpostfix.bat,” digunakan untuk membersihkan jejak eksploitasi.
Symantec mengatakan bahwa tidak ada muatan ransomware yang digunakan dalam intrusi. Temuan menunjukkan bahwa eksploitasi untuk CVE-2025-29824 mungkin telah tersedia untuk beberapa aktor ancaman sebelum diperbaiki oleh Microsoft.
Perlu dicatat bahwa sifat eksploitasi yang dirinci oleh perusahaan cybersecurity tidak tumpang tindih dengan cluster aktivitas lain yang dijuluki Storm-2460 yang diungkapkan Microsoft karena telah mempersenjatai cacat dalam serangkaian serangan terbatas untuk memberikan pipemagik yang dijuluki Trojan.
Eksploitasi CVE-2025-29824 juga menunjukkan tren aktor ransomware menggunakan nol-hari untuk menyusup ke target. Tahun lalu, Symantec mengungkapkan bahwa Black Basta Group mungkin telah memanfaatkan CVE-2024-26169, eskalasi hak istimewa dalam Layanan Pelaporan Kesalahan Windows, sebagai zero-hari.
Bypass EDR “Bring Your Own Installer” yang baru digunakan dalam serangan ransomware babuk
Pengungkapan itu datang ketika Aon's Stroz Friedberg Inscident Response Services merinci teknik bypass lokal yang disebut Bring Your Own Installer yang dieksploitasi oleh aktor ancaman untuk menonaktifkan perangkat lunak keamanan titik akhir dan menggunakan ransomware Babuk.
Serangan itu, menurut perusahaan, menargetkan sistem Deteksi dan Respons Titik Akhir Sentinelone (EDR) dengan mengeksploitasi cacat dalam proses peningkatan/penurunan peringkat dari agen Sentinelone setelah mendapatkan akses administratif lokal pada server yang dapat diakses publik.
“Bawa pemasang Anda sendiri adalah teknik yang dapat digunakan oleh aktor ancaman untuk memotong perlindungan EDR pada host melalui penghentian waktu dari proses pembaruan agen ketika dikonfigurasi dengan tidak memadai,” kata peneliti AON John Ailes dan Tim Mashni.
Pendekatan ini patut diperhatikan karena tidak bergantung pada driver yang rentan atau alat lain untuk melucuti perangkat lunak keamanan. Sebaliknya ia mengeksploitasi jendela waktu dalam proses peningkatan agen untuk menghentikan menjalankan agen EDR, meninggalkan perangkat tanpa perlindungan.
Secara khusus, ia menyalahgunakan fakta bahwa menginstal versi perangkat lunak yang berbeda menggunakan file MSI menyebabkannya mengakhiri proses Windows yang sudah menjalankan sebelum pembaruan dilakukan.
Serangan installer membawa sendiri pada dasarnya melibatkan menjalankan pemasang yang sah dan secara paksa mengakhiri proses instalasi dengan mengeluarkan perintah “TaskKill” setelah mematikan layanan yang sedang berjalan.
“Karena versi lama dari proses Sentinelone diakhiri selama peningkatan, dan proses baru terganggu sebelum pemijahan, hasil akhirnya adalah sistem tanpa perlindungan sentinelone,” kata peneliti AON.
Sentinelone, yang mengatakan teknik ini dapat diterapkan terhadap produk perlindungan titik akhir lainnya, sejak itu meluncurkan pembaruan ke fitur otorisasi peningkatan lokalnya untuk mengurangi bypass tersebut terjadi lagi. Ini termasuk memungkinkannya secara default untuk semua pelanggan baru.
Pengungkapan itu datang ketika Cisco mengungkapkan bahwa keluarga ransomware yang dikenal sebagai Crytox telah menggunakan HRSword sebagai bagian dari rantai serangan mereka untuk mematikan perlindungan keamanan titik akhir.
HRSWORD sebelumnya telah diamati dalam serangan yang memberikan strain ransomware Babylockerkz dan Phobos, serta yang dirancang untuk mengakhiri solusi keamanan Ahnlab di Korea Selatan.
Tren ransomware baru
Serangan ransomware juga semakin melatih pandangan mereka pada pengendali domain untuk melanggar organisasi, yang memungkinkan aktor ancaman untuk mendapatkan akses ke akun istimewa dan mempersenjatai akses jaringan terpusat untuk mengenkripsi ratusan atau ribuan sistem dalam hitungan menit.
“Lebih dari 78% serangan cyber yang dioperasikan manusia, aktor ancaman berhasil melanggar pengontrol domain,” ungkap Microsoft bulan lalu.
“Selain itu, dalam lebih dari 35% kasus, perangkat penyebar primer – sistem yang bertanggung jawab untuk mendistribusikan ransomware pada skala – adalah pengontrol domain, menyoroti peran pentingnya dalam memungkinkan enkripsi luas dan gangguan operasional.”
Serangan ransomware lainnya yang terdeteksi dalam beberapa bulan terakhir telah memanfaatkan ransomware-as-a-service (RAAS) baru yang dikenal sebagai Playboy Locker, yang menyediakan penjahat cyber yang relatif tidak terampil dengan perangkat komprehensif yang terdiri dari muatan ransomware, dasbor manajemen, dan layanan pendukung.
“Platform Playboy Locker RAAS menawarkan banyak opsi untuk membangun binari ransomware yang menargetkan sistem Windows, NAS, dan ESXI, memungkinkan konfigurasi yang disesuaikan agar sesuai dengan persyaratan operasional yang berbeda,” kata Cybereason. “Operator Playboy Locker Raas mengiklankan pembaruan rutin, fitur anti-deteksi, dan bahkan dukungan pelanggan untuk afiliasi.”
Perkembangan juga bertepatan dengan peluncuran kartel ransomware oleh Dragonforce, sebuah kelompok E-Crime yang telah mengklaim kendali Ransomhub, skema RAAS yang tiba-tiba menghentikan operasi pada akhir Maret 2025.
Layanan branding label putih dirancang untuk memungkinkan afiliasi menyamarkan ransomware Dragonforce sebagai strain yang berbeda dengan biaya tambahan. Aktor ancaman mengklaim mengambil 20% bagian dari pembayaran ransomware yang berhasil, memungkinkan afiliasi untuk menjaga 80% sisanya.
Dragonforce muncul pada Agustus 2023, memposisikan dirinya sebagai operasi peretas pro-Palestina sebelum berevolusi menjadi operasi ransomware penuh. Dalam beberapa minggu terakhir, Sindikat RAAS telah menarik perhatian untuk penargetan pengecer Inggris seperti Harrods, Marks dan Spencer, dan Co-op.
“Langkah ini, bersama dengan dorongan Dragonforce untuk merek dirinya sebagai 'kartel ransomware,' menggambarkan keinginan kelompok untuk meningkatkan profilnya dalam lanskap Crimeware dengan memungkinkan ekosistem,” kata Sentinelone. “Di bawah model ini, Dragonforce menyediakan infrastruktur, malware, dan layanan dukungan berkelanjutan sementara afiliasi menjalankan kampanye di bawah branding mereka sendiri.”
Menurut laporan dari BBC News, serangan yang ditujukan pada sektor ritel Inggris diyakini telah diatur oleh kelompok ancaman terkenal dan afiliasi ransomhub yang dikenal sebagai Spider yang tersebar (alias Octo Tempest atau UNC3944).
“Adalah masuk akal bahwa aktor ancaman termasuk UNC3944 memandang organisasi ritel sebagai target yang menarik, mengingat bahwa mereka biasanya memiliki sejumlah besar informasi yang dapat diidentifikasi secara pribadi (PII) dan data keuangan,” kata Google-Onceed Mandiant.
“Lebih lanjut, perusahaan -perusahaan ini mungkin lebih cenderung membayar permintaan tebusan jika serangan ransomware berdampak pada kemampuan mereka untuk memproses transaksi keuangan.”
Serangan ransomware telah menyaksikan peningkatan 25% pada tahun 2024, dengan jumlah situs kebocoran kelompok ransomware naik 53%. Fragmentasi, per bitsight, adalah kedatangan geng yang lebih kecil dan lebih gesit yang mencolok organisasi menengah yang mungkin tidak selalu memiliki sumber daya untuk mengatasi ancaman tersebut.
“Proliferasi kelompok ransomware berarti bahwa mereka meningkat lebih cepat daripada penegakan hukum dapat menutupnya, dan fokus mereka pada organisasi yang lebih kecil berarti siapa pun mungkin menjadi sasaran,” kata peneliti keamanan Dov Lerner.
