La cepa de ransomware conocida como Play se está ofreciendo ahora a otros actores de amenazas "como un servicio", según han revelado nuevas pruebas descubiertas por Adlumin.
"La inusual falta de variaciones, incluso pequeñas, entre los ataques sugiere que están siendo llevados a cabo por afiliados que han comprado el ransomware como servicio (RaaS) y están siguiendo paso a paso las instrucciones de los libros de jugadas entregados con él", dijo la compañía de ciberseguridad en un informe compartido con The Hacker News.
Las conclusiones se basan en varios ataques de ransomware de Play rastreados por Adlumin que abarcan diferentes sectores e incorporan tácticas casi idénticas y en la misma secuencia.
Esto incluye el uso de la carpeta pública de música (C:\...\public\music) para ocultar el archivo malicioso, la misma contraseña para crear cuentas con privilegios elevados, y ambos ataques, y los mismos comandos.
Play, también llamado Balloonfly y PlayCrypt, salió a la luz por primera vez en junio de 2022, aprovechando fallos de seguridad en Microsoft Exchange Server -es decir, ProxyNotShell y OWASSRF- para infiltrarse en redes y dejar caer herramientas de administración remota como AnyDesk y, en última instancia, desplegar el ransomware.
Además de utilizar herramientas de recopilación de datos personalizadas como Grixba para la doble extorsión, un aspecto notable que diferenciaba a Play de otros grupos de ransomware era el hecho de que los operadores encargados de desarrollar el malware también llevaban a cabo los ataques.
El nuevo desarrollo, por tanto, marca un cambio y completa su transformación en una operación RaaS, convirtiéndola en una opción lucrativa para los ciberdelincuentes.
"Cuando los operadores de RaaS anuncian kits de ransomware que vienen con todo lo que un hacker necesitará, incluyendo documentación, foros, soporte técnico y soporte para la negociación del rescate, los script kiddies se verán tentados a probar suerte y poner en práctica sus habilidades", dijo Adlumin.
"Y puesto que hoy en día hay probablemente más script kiddies que 'hackers de verdad', las empresas y las autoridades deberían tomar nota y prepararse para una creciente oleada de incidentes".
Aviso legal: Este documento ha sido compartido desde la página de thehackernews.com con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.