PlayBoy Locker è il nome di una piattaforma di Ransomware-as-a-Service (RaaS) attiva dal settembre 2024 e monitorata dai ricercatori di Cybereason, che rispecchia l’attuale tendenza del cybercrime alla creazione di pannelli di gestione che rendano gli attacchi accessibili anche a chi ha competenze limitate nel ransomware. La piattaforma, infatti, fornisce strumenti completi, tra cui payload malevoli, dashboard di gestione e servizi di supporto. Il modello di affiliazione è quello classico, che prevede il riconoscimento dell'85% dei profitti da riscatto agli affiliati, e il restante 15% agli operatori del servizio.

La compromissione iniziale avviene tramite i comuni vettori di infezione, come email di phishing o RDP compromessi. Una volta presente sul sistema della vittima, il ransomware può eseguire una scansione LDAP per individuare altri sistemi nella rete, quindi iniziare a propagarsi all'interno dell'ambiente aziendale.​ Tecnicamente parlando, PlayBoy Locker è scritto in linguaggio C++ e sfrutta una combinazione degli algoritmi di crittografia hc-128 e curve25519. L'infrastruttura di PlayBoy Locker include un builder web-based con cui gli affiliati possono automatizzare la creazione dei payload e chat attive che li supportano.​

Il ransomware offre numerose opzioni per personalizzare i payload, a partire dall’adattabilità all’ambiente dato che supporta sistemi Windows, NAS e ESXi. La lunga lista di funzionalità principali comprende la crittografia segmentata dei file, la capacità di propagarsi automaticamente in un ambiente Active Directory tramite LDAP con credenziali fornite, la gestione multithread delle code di crittografia, la terminazione di processi e servizi, l'eliminazione delle copie shadow, il riavvio del sistema, la modifica dello sfondo del desktop, la cancellazione dello spazio libero su disco, la personalizzazione delle note di riscatto e lo svuotamento del cestino.​

Le versioni destinate a NAS e ESXi, PlayBoy Locker presentano ulteriori funzionalità, come la capacità di spegnere automaticamente le macchine virtuali, escludere determinati file o percorsi dalla crittografia. La versione per NAS supporta la crittografia di percorsi singoli, facilitando l'attacco a dispositivi di archiviazione collegati in rete.​

Ricordiamo che la difesa contro minacce come PlayBoy Locker passa per l’adozione di misure proattive, tra cui l'implementazione di soluzioni di sicurezza avanzate, la formazione del personale in materia di cybersecurity e l’attuazione di strategie di backup efficaci, così da ottenere la resilienza contro tali minacce.​