In een verrassende draai van gebeurtenissen heeft de Play ransomware-bende een ernstige kwetsbaarheid in het Windows Common Log File System uitgebuit om systeemrechten te verkrijgen en malware te verspreiden op getroffen systemen.

Deze kwetsbaarheid, aangeduid als CVE-2025-29824, werd door Microsoft opgemerkt als beperkt gebruikt in aanvallen en is vorige maand nog gerepareerd tijdens Patch Tuesday.

“De doelwitten omvatten organisaties binnen de IT- en vastgoedsector in de Verenigde Staten, de financiële sector in Venezuela, een Spaanse softwareontwikkelaar en de retailsector in Saoedi-Arabië,” aldus Microsoft in april.

Microsoft bracht deze aanvallen in verband met de RansomEXX ransomware-bende. De aanvallers installeerden de PipeMagic-backdoor malware, die werd gebruikt om de CVE-2025-29824-exploit in te zetten, ransomware te verspreiden en losgeldberichten te plaatsen na het versleutelen van bestanden.

Ondertussen heeft Symantec’s Threat Hunter Team ook bewijs gevonden dat hen linkt aan de Play ransomware-operatie. De aanvallers hadden een zero-day exploit voor privilege-verhoging, CVE-2025-29824, ingezet na het binnendringen in het netwerk van een Amerikaanse organisatie.

“Hoewel er geen ransomware werd ingezet, gebruikten de aanvallers de Grixba infostealer, een op maat gemaakte tool geassocieerd met Balloonfly, de groep achter de Play ransomware,” meldde Symantec.

“Balloonfly is een cybercrime-groep die sinds juni 2022 actief is en de Play ransomware (ook wel PlayCrypt) gebruikt in hun aanvallen.”

De Grixba tool werd twee jaar geleden voor het eerst ontdekt. De operators van Play ransomware gebruiken het meestal om gebruikers en computers binnen geïnfecteerde netwerken te inventariseren.

De Play cybercrime-groep kwam in juni 2022 boven water en staat ook bekend om hun dubbele afpersingsaanvallen, waarbij slachtoffers onder druk worden gezet om losgeld te betalen om te voorkomen dat hun gestolen data online wordt gelekt.

In december 2023 gaf de FBI samen met CISA en het Australian Cyber Security Centre (ACSC) een waarschuwing uit dat de Play ransomware-groep wereldwijd de netwerken van zo’n 300 organisaties had getroffen per oktober 2023.

Eerdere bekende slachtoffers van Play ransomware zijn onder andere het cloud computing-bedrijf Rackspace, autoverkoopgigant Arnold Clark, de stad Oakland in Californië, Dallas County, de Belgische stad Antwerpen, en recentelijk nog de Amerikaanse halfgeleiderleverancier Microchip Technology en donutketen Krispy Kreme.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.