Die Cybersicherheitslandschaft befindet sich in ständigem Wandel, und Angreifer entwickeln immer raffiniertere Methoden, um in Netzwerke und Systeme einzudringen. Ein aktuelles Beispiel dafür ist der Angriff einer Gruppe, die mit der Play Ransomware in Verbindung steht. Diese bedrohliche Ransomware-Familie nutzte eine Zero-Day-Sicherheitslücke in Microsoft Windows, die unter der Kennung CVE-2025-29824 bekannt ist, um eine US-amerikanische Organisation zu kompromittieren. Die Ausnutzung dieser Schwachstelle verdeutlicht nicht nur die Gefahr von Zero-Day-Exploits, sondern auch, wie hochentwickelte Cyberkriminelle zunächst versteckte Schwachstellen ausnutzen, um größtmöglichen Schaden anzurichten. Die Schwachstelle CVE-2025-29824 betrifft eine Privilegieneskalation im Treiber des Common Log File System (CLFS) von Windows.
Es handelt sich dabei um eine Sicherheitslücke, die es Angreifern ermöglicht, ihre Berechtigungen im System unrechtmäßig auf ein höheres Level zu heben. Zwar wurde diese Schwachstelle von Microsoft vor kurzem mit einem Sicherheitsupdate behoben, doch zeigte der Angriff auf die US-Organisation, wie schnell Kriminelle Zero-Day-Schwachstellen nutzen können, bevor Patches breit implementiert sind. Die Play Ransomware, die auch unter den Namen Balloonfly und PlayCrypt bekannt ist, ist für ihre sogenannten Double-Extortion-Taktiken berüchtigt. Dabei werden sensible Daten vor der eigentlichen Verschlüsselung gestohlen und die Opfer anschließend erpresst, nicht nur die Entschlüsselung zu bezahlen, sondern auch die Veröffentlichung dieser Daten zu verhindern. Seit mindestens Mitte 2022 ist die Gruppe aktiv und hat sich durch eine Vielzahl komplexer Attacken hervorgetan.
Im beobachteten Angriff nutzten die Täter scheinbar eine öffentlich zugängliche Cisco Adaptive Security Appliance (ASA) als Einstiegspunkt in das Netzwerk. Anschließend gelang es ihnen, mittels noch unklarer Methoden auf andere Windows-Computer im Zielnetzwerk überzugreifen. Dieses Vorgehen verdeutlicht, wie Angreifer Schwachstellen außerhalb des eigentlichen Zielsystems ausnutzen können, um sich lateral in einem Firmennetzwerk zu bewegen. Bemerkenswert ist auch die Verwendung eines eigens entwickelten Information-Stealers namens Grixba, der schon zuvor Play Ransomware zugeschrieben wurde. In Verbindung mit dem Exploit für CVE-2025-29824 wurde Grixba in dem Ordner "Music" abgelegt und tarnte sich durch Namen, die an Palo Alto Networks-Software erinnern, etwa "paloaltoconfig.
exe" und "paloaltoconfig.dll". Dieses Täuschungsmanöver soll eine Entdeckung durch Sicherheitssysteme erschweren und zeigt die hohe Professionalität der Angreifer. Während der Ausführung des Exploits wurden zwei Dateien im Verzeichnis C:\ProgramData\SkyPDF erzeugt. Die Datei "PDUDrv.
blf" ist ein Logfile des Common Log File Systems und ein Beweis dafür, dass die Schwachstelle tatsächlich genutzt wurde. Die zweite Datei "clssrv.inf" ist eine DLL, die in den Windows-Prozess winlogon.exe injiziert wird. Diese DLL besitzt die Fähigkeit, zwei Batch-Dateien zu starten.
Eine dieser Batch-Dateien mit dem Namen "servtask.bat" dient zur Eskalation von Rechten, dem Auslesen und Exportieren kritischer Registry-Hives (SAM, SYSTEM, SECURITY) und zur Erstellung eines neuen Benutzers namens "LocalSvc", der der Administratorgruppe hinzugefügt wird. Die zweite Batch-Datei "cmdpostfix.bat" wird verwendet, um Spuren des Angriffs zu beseitigen und die Entdeckung zu erschweren. Interessanterweise wurde trotz der Nutzung der Exploits kein eigentlicher Ransomware-Code in dem beschriebenen Vorfall ausgeführt.
Die Untersuchungen von Symantec legen nahe, dass der Exploit womöglich bereits vor der Veröffentlichung des offiziellen Patches in den Händen mehrerer Bedrohungsakteure war und verwendet wurde. Dies unterstreicht die Dringlichkeit, Sicherheitsupdates umgehend zu installieren und Angriffswege ständig zu analysieren. Es ist ebenfalls zu betonen, dass die von der Play-Ransomware-Gruppe genutzte Ausnutzung von CVE-2025-29824 sich deutlich von anderen Angriffen unterscheidet, insbesondere von jenen, die Microsoft als Teil der Storm-2460-Kampagne identifizierte. Dort wurde die Schwachstelle mit einem Trojaner namens PipeMagic in sehr eingeschränktem Umfang verwendet. Der Angriff unterstreicht zudem einen anhaltenden Trend: Ransomware-Gruppen greifen vermehrt auf Zero-Day-Exploits zurück, um in Netzwerke einzudringen und Sicherheitsmaßnahmen zu umgehen.
Ein vergleichbares Beispiel aus dem vergangenen Jahr ist die Nutzung der Schwachstelle CVE-2024-26169 durch die Black Basta-Gruppe, die eine Privilegieneskalation im Windows Error Reporting Service ausnutzte. Das Aufkommen neuer Techniken wie "Bring Your Own Installer" (BYOI) zeigt, wie vielseitig und anpassungsfähig Cyberkriminelle sind. Diese Methode wurde beispielsweise im Zusammenhang mit Babuk-Ransomware-Angriffen beobachtet, wobei Endpoint-Security-Produkte wie SentinelOne durch gezielte Exploits in Update-Prozessen umgangen werden. BYOI demonstriert, dass oft nicht nur Schwachstellen im klassischen Sinne, sondern auch Prozess- und Konfigurationsfehler ausgenutzt werden können, um Sicherheitsmechanismen auszuschalten. Die Bedrohung durch Ransomware wird durch die zunehmende Konzentration auf Domain-Controller verschärft.
Microsoft berichtete, dass bei mehr als 78 Prozent aller von Menschen gesteuerten Cyberangriffe diese Systeme kompromittiert wurden. Domain-Controller ermöglichen Angreifern einen zentralen Zugang zu privilegierten Accounts, mit denen sie sich sehr schnell im Netzwerk bewegen und großen Schaden anrichten können. Parallel dazu wächst auch die Zahl an Ransomware-as-a-Service (RaaS)-Angeboten wie PlayBoy Locker, die kriminellen Akteuren mit geringer Erfahrung leistungsfähige Werkzeuge an die Hand geben. Dieses RaaS bietet individuelle Konfigurationen für Windows-, NAS- und ESXi-Systeme, mit umfangreichen Funktionen zur Steuerung, regelmäßigen Updates und sogar Support für Affiliates. Mit dem Aufstieg von Cyberkriminellen wie DragonForce, einer Gruppe, die eine sogenannte Ransomware-Kartell-Strategie verfolgt, zeigt sich, wie sich das Ökosystem um Ransomware-Operationen zunehmend professionalisiert.
Sie bieten Infrastruktur, Malware und Support, während Affiliates unter eigenen Markenangaben Kampagnen starten und einen Großteil der Gewinne erhalten. Die Angriffe auf namhafte britische Händler wie Harrods und Marks & Spencer legen nahe, dass kriminelle Akteure besonders Organisationen ins Visier nehmen, die große Mengen an personenbezogenen und finanziellen Daten verwalten und daher als lohnenswerte Ziele gelten. Die Gefahr ist hoch, da solche Unternehmen oft deswegen eher zu Lösegeldzahlungen bereit sind, um eine Unterbrechung der Transaktionsprozesse zu verhindern. Der Anstieg an Ransomware-Angriffen um 25 Prozent im Jahr 2024 sowie die Zunahme von Leak-Seiten um 53 Prozent verdeutlichen die zunehmende Fragmentierung und Professionalisierung der Bedrohungslandschaft. Kleinere und agil agierende Gruppen fokussieren sich zunehmend auf mittelständische Unternehmen, die oft nicht über die notwendigen Ressourcen verfügen, um effektiven Schutz zu gewährleisten.
![A first successful factorization of RSA-2048 integer by D-Wave quantum computer [pdf]](/images/6D4BAC79-3155-42F8-BFB6-66FF91AFEDE5)
