Play fidye yazılımı çetesi, sistem ayrıcalıkları kazanmak ve tehlikeye atılan sistemlere kötü amaçlı yazılım dağıtmak için sıfır gün saldırılarında yüksek şiddetli bir Windows ortak günlük dosya sistemi kusurundan yararlandı.
CVE-2025-29824 olarak izlenen güvenlik açığı, Microsoft tarafından sınırlı sayıda saldırıda kullanıldığı gibi etiketlendi ve geçen ay Salı günü yamada yamalı.
Microsoft, Nisan ayında, “Hedefler bilgi teknolojisindeki kuruluşları (BT) ve ABD’nin emlak sektörleri, bir İspanyol yazılım şirketi olan Venezuela’daki finans sektörü ve Suudi Arabistan’daki perakende sektörü içeriyor.” Dedi.
Microsoft, bu saldırıları Ransomexx fidye yazılımı çetesine bağladı ve saldırganların, dosyaları şifrelemeden sonra CVE-2025-29824 istismarını bırakmak, fidye yazılımı yükleri ve fidye notlarını bırakmak için kullanılan pipemagik arka kapı kötü amaçlı yazılımını kurduklarını söyledi.
O zamandan beri, Symantec’in tehdit avcısı ekibi, onları bir ABD organizasyonunun ağını ihlal ettikten sonra CVE-2025-29824 sıfır günlük ayrıcalık artış istismarını kullandığını söyleyerek onları Hizmet Olarak Oyun Fidye Yazılımı operasyonuna bağlayan kanıtlar buldu.
Symantec, “Saldırıda hiçbir fidye yazılımı yükü konuşlandırılmasa da, saldırganlar BalonFly ile ilişkili özel bir araç olan Grixba Infostealer’ı, oyun fidye yazılımı operasyonunun arkasındaki saldırganlar kullandı.” Dedi.
“Balloonfly, en azından Haziran 2022’den beri aktif olan ve saldırılarda oyun fidye yazılımını (PlayCrypt olarak da bilinir) kullanan bir siber suç grubudur.”
Grixba özel ağ tarama ve bilgi çalma aracı ilk olarak iki yıl önce tespit edildi ve fidye yazılımı operatörleri genellikle kullanıcıları ve bilgisayarları tehlikeye atılan ağlarda numaralandırmak için kullanıyor.
Oyun siber suç çetesi Haziran 2022’de ortaya çıktı ve aynı zamanda bağlı kuruluşlarının çalınan verilerinin çevrimiçi sızmasını önlemek için kurbanları fidye ödemeye zorladığı çift genişlemeli saldırılarla da biliniyor.
Aralık 2023’te FBI, CISA ve Avustralya Siber Güvenlik Merkezi (ACSC) ile ortak bir danışmanlık yayınladı ve oyun fidye yazılımı çetesinin Ekim 2023 itibariyle dünya çapında yaklaşık 300 kuruluşun ağlarını ihlal ettiğini söyledi.
Önceki önemli oyun fidye yazılımı kurbanları arasında bulut bilişim şirketi Rackspace, otomobil perakendecisi devi Arnold Clark, Kaliforniya’daki Oakland şehri, Dallas County, Belçika şehri Antwerp ve daha yakın zamanda Amerikan yarı iletken tedarikçi mikroçip teknolojisi ve donut zinciri Krispy Kreme yer alıyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.