PlayBoy Locker è un ransomware avanzato che si diffonde su Windows, NAS ed ESXi, facilitando attacchi su larga scala grazie a un modello RaaS.
Autore: Redazione SecurityOpenLab
PlayBoy Locker è il nome di una piattaforma di Ransomware-as-a-Service (RaaS) attiva dal settembre 2024 e monitorata dai ricercatori di Cybereason, che rispecchia l’attuale tendenza del cybercrime alla creazione di pannelli di gestione che rendano gli attacchi accessibili anche a chi ha competenze limitate nel ransomware. La piattaforma, infatti, fornisce strumenti completi, tra cui payload malevoli, dashboard di gestione e servizi di supporto. Il modello di affiliazione è quello classico, che prevede il riconoscimento dell'85% dei profitti da riscatto agli affiliati, e il restante 15% agli operatori del servizio.
La compromissione iniziale avviene tramite i comuni vettori di infezione, come email di phishing o RDP compromessi. Una volta presente sul sistema della vittima, il ransomware può eseguire una scansione LDAP per individuare altri sistemi nella rete, quindi iniziare a propagarsi all'interno dell'ambiente aziendale. Tecnicamente parlando, PlayBoy Locker è scritto in linguaggio C++ e sfrutta una combinazione degli algoritmi di crittografia hc-128 e curve25519. L'infrastruttura di PlayBoy Locker include un builder web-based con cui gli affiliati possono automatizzare la creazione dei payload e chat attive che li supportano.
Le versioni destinate a NAS e ESXi, PlayBoy Locker presentano ulteriori funzionalità, come la capacità di spegnere automaticamente le macchine virtuali, escludere determinati file o percorsi dalla crittografia. La versione per NAS supporta la crittografia di percorsi singoli, facilitando l'attacco a dispositivi di archiviazione collegati in rete.