گروه‌های تهدید مرتبط با باج‌افزار Play از آسیب‌پذیری CVE-2025-29824 در سیستم‌عامل ویندوز به عنوان zero-day برای حمله به سازمانی در آمریکا استفاده کردند. این آسیب‌پذیری که در درایور CLFS وجود داشت و ماه گذشته توسط مایکروسافت پچ شد، امکان افزایش سطح دسترسی را فراهم می‌کرد. مهاجمان احتمالاً از طریق Cisco ASA وارد شبکه شده و از ابزار اطلاعات‌دزد Grixba و فایل‌های جعلی با نام‌های مشابه نرم‌افزار Palo Alto Networks استفاده کردند.

همزمان، تکنیک جدیدی به نام “Bring Your Own Installer” برای دور زدن سیستم‌های EDR و استقرار باج‌افزار Babuk شناسایی شد که از فرآیند به‌روزرسانی نرم‌افزار امنیتی سوءاستفاده می‌کند. حملات باج‌افزاری در سال ۲۰۲۴ با افزایش ۲۵ درصدی مواجه شده و بیش از ۷۸ درصد حملات انسانی موفق به نفوذ به کنترلرهای دامنه می‌شوند. گروه DragonForce نیز کارتل باج‌افزاری جدیدی راه‌اندازی کرده که خدمات RaaS ارائه می‌دهد و اخیراً خرده‌فروشان بریتانیایی را هدف قرار داده است.