Diversos grupos de ransomware han estado abusando de un error zero-day en el Sistema de Archivos de Registro Común de Windows para obtener privilegios del sistema y desplegar malware en dispositivos objetivo, confirmaron varios investigadores de seguridad. El error zero-day fue descubierto y parcheado como parte de la actualización acumulativa de Microsoft Patch Tuesday de abril de 2024. Dado un puntaje de gravedad de 7.8/10 (alto), se sigue como CVE-2025-29824, y se describe como un error de uso después de libre en el controlador del Sistema de Archivos de Registro Común de Windows que permite a atacantes autorizados elevar privilegios localmente.
Microsoft fue una de las primeras compañías en dar la alerta sobre el error, diciendo que los hackers lo están utilizando para atacar a empresas de TI y bienes raíces en EE. UU., organizaciones financieras en Venezuela, empresas de software en España y minoristas en Arabia Saudita. Los investigadores dijeron que el error fue utilizado por un actor de amenazas llamado RansomEXX, quien lo utilizó para dejar el backdoor PipeMagic y otro malware, incluido un cifrador. Sin embargo, Symantec también encontró a Play, un jugador de ransomware infame, usando el error para acceder a un objetivo en EE. UU.
“Si bien no se desplegó ninguna carga útil de ransomware en la intrusión, los atacantes desplegaron el infostealer Grixba, que es una herramienta personalizada asociada con Balloonfly, los atacantes detrás de la operación de ransomware Play”, explicó Symantec en su informe. “Balloonfly es un grupo de ciberdelincuentes que ha estado activo desde al menos junio de 2022 y utiliza el ransomware Play (también conocido como PlayCrypt) en ataques.”
Play, también conocido como Playcrypt, es un actor de amenazas que surgió a mediados de 2022. En el primer año y medio de su existencia, reclamó aproximadamente 300 víctimas, algunas de las cuales eran organizaciones de infraestructura crítica. A finales de 2023, el FBI, CISA y otras agencias de seguridad publicaron un aviso conjunto de seguridad, advirtiendo sobre los peligros que representa Play.
“Desde junio de 2022, el grupo de ransomware Play (también conocido como Playcrypt) ha impactado a una amplia gama de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa”, decía el aviso. “A partir de octubre de 2023, el FBI tenía conocimiento de aproximadamente 300 entidades afectadas presuntamente explotadas por los actores de ransomware.”