O grupo de ransomware Play explorou a vulnerabilidade CVE-2025-29824, recentemente corrigida pela Microsoft, como um zero-day em um ataque contra uma organização nos EUA. A falha, localizada no driver Common Log File System (CLFS), permitia escalonamento de privilégios. Embora não tenha havido criptografia de arquivos, o ataque envolveu roubo de informações, criação de usuários administrativos e camuflagem do malware como arquivos da Palo Alto Networks.

Os invasores usaram um dispositivo Cisco ASA como ponto de entrada e, após movimentação lateral, executaram o malware “Grixba”, coletando dados de máquinas no Active Directory. Foram deixados rastros, como arquivos criados na pasta ProgramData, e scripts que elevavam privilégios e eliminavam vestígios do ataque. Simultaneamente, outra técnica, chamada “Bring Your Own Installer”, foi usada para burlar sistemas de proteção como o SentinelOne. O ataque explorava a atualização local do agente, encerrando processos de segurança em um momento crítico da instalação, deixando o sistema vulnerável. Essas táticas refletem uma tendência de cibercriminosos usarem zero-days e técnicas sofisticadas para violar sistemas e evitar detecção.

O aumento de ataques a controladores de domínio e a ascensão de plataformas RaaS como PlayBoy Locker e DragonForce também indicam um cenário de ransomware cada vez mais fragmentado e acessível, com foco em organizações médias com recursos limitados. A DragonForce, originalmente ativista pró-Palestina, agora opera como cartel de ransomware, oferecendo infraestrutura, suporte e marca branca a afiliados. Seus alvos incluem grandes varejistas britânicos, e estima-se que mais de 78% dos ataques bem-sucedidos envolvam o comprometimento de controladores de domínio.