Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Pagaments King Ransomware

Pagaments King Ransomware

El Mezo el Ransomware
Traduir a:

L'operació de ransomware Payouts King ha introduït una tècnica altament evasiva aprofitant QEMU com a porta del darrere SSH inversa. Aquest enfocament permet als atacants implementar màquines virtuals (VM) ocultes directament en sistemes compromesos, evitant eficaçment els controls de seguretat tradicionals dels endpoints.

QEMU, un emulador de CPU i plataforma de virtualització de codi obert, permet que els sistemes operatius s'executin com a màquines virtuals en un dispositiu amfitrió. Com que la majoria de solucions de seguretat no poden inspeccionar l'activitat dins d'aquestes màquines virtuals, els atacants exploten aquest punt cec per executar càrregues útils malicioses, emmagatzemar dades perjudicials i establir túnels d'accés remot encoberts mitjançant connexions SSH.

Aquesta tàctica no és completament nova. S'ha observat un abús similar de QEMU en operacions vinculades a grups com el grup de ransomware 3AM, LoudMiner i la campanya de phishing CRON#TRAP.

Dins de la campanya STAC4713

Investigadors de seguretat han identificat dues campanyes importants que impliquen el desplegament de QEMU, una de les quals es va rastrejar com a STAC4713, observada per primera vegada el novembre de 2025. Aquesta campanya s'ha vinculat directament a l'operació de ransomware Payouts King i s'ha atribuït al grup GOLD ENCOUNTER.

GOLD ENCOUNTER és conegut per atacar hipervisors i implementar xifratgers en entorns VMware i ESXi. Dins d'aquesta campanya, els atacants estableixen persistència i ocultació creant una tasca programada anomenada TPMProfiler, que inicia una màquina virtual QEMU oculta amb privilegis de nivell SYSTEM.

Per evitar la detecció, els fitxers de disc virtual maliciosos es disfressen de fitxers de bases de dades i DLL legítims. A més, el reenviament de ports està configurat per permetre l'accés encobert al sistema infectat a través de túnels SSH inversos. La màquina virtual desplegada executa Alpine Linux 3.22.0 i inclou un conjunt d'eines d'utilitats per a atacants com ara AdaptixC2, Chisel, BusyBox i Rclone.

Accés inicial i vies d’explotació

Els atacants han demostrat flexibilitat a l'hora d'obtenir accés inicial, utilitzant múltiples punts d'entrada segons l'entorn objectiu. Els primers incidents van involucrar sistemes VPN de SonicWall exposats, mentre que els atacs més recents van explotar la falla CVE-2025-26399.

Altres mètodes d'intrusió observats en campanyes posteriors inclouen:

  • Compromís dels serveis VPN SSL de Cisco exposats
  • Enginyeria social a través de Microsoft Teams, on els atacants suplanten la identitat del personal de TI
  • Lliurament de càrregues útils malicioses mitjançant Quick Assist

Aquests enfocaments variats posen de manifest una barreja d'explotació tècnica i engany dirigit a humans.

Operacions post-compromís i robatori de dades

Un cop dins d'una xarxa, els atacants utilitzen tècniques avançades de postexplotació per extreure dades sensibles i augmentar la seva posició. El procés normalment implica la creació de còpies ombra mitjançant VSS (vssuirun.exe), seguides de l'aprofitament dels protocols SMB per copiar fitxers crítics del sistema com ara NTDS.dit, SAM i els registres SYSTEM a directoris temporals.

En etapes posteriors, binaris legítims com ADNotificationManager.exe s'utilitzen de manera abusiva per carregar càrregues útils malicioses, concretament un component Havoc C2 (vcruntime140_1.dll). L'exfiltració de dades es duu a terme mitjançant Rclone, transferint informació robada a servidors SFTP remots.

Capacitats de ransomware i estratègia de xifratge

La varietat de ransomware Payouts King demostra una forta sofisticació tècnica. Incorpora àmplies tècniques d'ofuscació i antianàlisi per evadir la detecció, alhora que manté la persistència a través de tasques programades i desactiva les eines de seguretat mitjançant crides al sistema de baix nivell.

El seu mecanisme de xifratge combina AES-256 en mode CTR amb RSA-4096, aplicant xifratge intermitent per a fitxers més grans per optimitzar la velocitat i l'impacte. Les víctimes són dirigides a llocs de filtracions de la dark web mitjançant notes de rescat, cosa que augmenta la pressió per l'amenaça d'exposició de dades.

L'evidència suggereix que aquesta operació de ransomware pot estar vinculada a antics afiliats del grup Black Basta, basant-se en tàctiques superposades com ara el bombardeig de correu brossa, el phishing a través de Microsoft Teams i l'abús d'eines d'accés remot.

Indicadors clau de compromís a tenir en compte

Per defensar-se contra aquesta amenaça en evolució, les organitzacions haurien de controlar els següents senyals d'alerta:

  • Instal·lacions o execució no autoritzades de QEMU
  • Tasques programades sospitoses que s'executen amb privilegis de SYSTEM elevats
  • Activitat inusual de redirecció de ports SSH
  • Túnels SSH de sortida que utilitzen ports no estàndard

La detecció precoç d'aquests indicadors pot reduir significativament el risc de compromís prolongat i pèrdua de dades.

Tendència

Més vist

Carregant...