Il panorama della sicurezza informatica è stato recentemente scosso da una nuova ondata di attacchi ransomware che sfruttano vulnerabilità zero-day, come dimostra il caso della famiglia Play ransomware che ha colpito un'organizzazione negli Stati Uniti. Gli attaccanti hanno approfittato di una falla di elevazione dei privilegi in Microsoft Windows, identificata come CVE-2025-29824, nel driver Common Log File System (CLFS). Questa vulnerabilità, corretta solo di recente da Microsoft, è stata sfruttata prima della pubblicazione della patch, consentendo agli aggressori di ottenere accesso privilegiato.

Dettagli dell’attacco

Nel dettaglio, l’attacco ha visto l’utilizzo di un dispositivo Cisco ASA esposto come punto iniziale di ingresso e il movimento laterale verso un sistema Windows interno. Degno di nota è l’uso del malware Grixba, un information stealer già associato al gruppo Play, mascherato come software legittimo di Palo Alto Networks per eludere i controlli. Gli attaccanti hanno anche eseguito comandi per mappare l’intera infrastruttura Active Directory della vittima, raccogliendo dati su tutte le macchine presenti.

Durante l’esecuzione dell’exploit, sono stati creati file specifici all’interno della cartella SkyPDF, tra cui un file .blf del sistema CLFS e una DLL malevola iniettata nel processo winlogon.exe. Questo file ha permesso agli attaccanti di lanciare ulteriori script batch per aumentare i privilegi, esfiltrare i registri di sistema SAM, SYSTEM e SECURITY, e creare un nuovo utente amministrativo, oltre a cancellare le tracce dell’attacco.

Tendenze e rischi emergenti

Sebbene non sia stato rilevato il rilascio di un vero e proprio payload ransomware in questa intrusione, l’indagine suggerisce che l’exploit di CVE-2025-29824 fosse già nelle mani di più gruppi criminali prima della patch di Microsoft. Questo trend evidenzia come i gruppi ransomware stiano adottando sempre più frequentemente vulnerabilità zero-day per massimizzare l’efficacia delle loro campagne. Un esempio parallelo è rappresentato dalla tecnica “Bring Your Own Installer”, usata dal ransomware Babuk per bypassare le soluzioni EDR, sfruttando una finestra temporale nel processo di aggiornamento dei software di sicurezza.

I ransomware odierni puntano sempre più spesso ai domain controller, consentendo agli attaccanti di propagare l’infezione rapidamente su vasta scala. Le nuove piattaforme Ransomware-as-a-Service come PlayBoy Locker abbassano inoltre la soglia di ingresso per i cybercriminali, offrendo strumenti e supporto per personalizzare gli attacchi.

Gruppi e settori colpiti

Il fenomeno è ulteriormente aggravato dalla frammentazione del panorama ransomware, con gruppi come DragonForce e affiliate come Scattered Spider che prendono di mira settori sensibili come il retail, sfruttando la disponibilità di dati personali e la propensione a pagare riscatti elevati. Il numero di gruppi ransomware e di attacchi continua ad aumentare, colpendo soprattutto organizzazioni di medie dimensioni che spesso non dispongono di solide difese.