Slevová nabídka pro více licencí
Databáze hrozeb Ransomware Výplaty King Ransomware

Výplaty King Ransomware

V roce Mezo v roce Ransomware
Přeložit do:

Operace ransomwaru Payouts King zavedla vysoce úhybnou techniku, kdy využívá QEMU jako reverzní SSH backdoor. Tento přístup umožňuje útočníkům nasadit skryté virtuální stroje (VM) přímo na napadené systémy a efektivně tak obcházet tradiční bezpečnostní kontroly koncových bodů.

QEMU, open-source emulátor CPU a virtualizační platforma, umožňuje operačním systémům běžet jako virtuální stroje na hostitelském zařízení. Protože většina bezpečnostních řešení nedokáže kontrolovat aktivitu uvnitř těchto virtuálních strojů, útočníci zneužívají toto slepé místo ke spouštění škodlivých dat, ukládání nebezpečných dat a vytváření skrytých tunelů pro vzdálený přístup prostřednictvím SSH připojení.

Tato taktika není zcela nová. Podobné zneužívání QEMU bylo pozorováno u operací spojených se skupinami, jako je ransomwarová skupina 3AM, LoudMiner a phishingová kampaň CRON#TRAP.

Uvnitř kampaně STAC4713

Bezpečnostní výzkumníci identifikovali dvě hlavní kampaně zahrnující nasazení QEMU, přičemž jedna byla sledována jako STAC4713 a byla poprvé pozorována v listopadu 2025. Tato kampaň byla přímo spojena s operací ransomwaru Payouts King a připsána skupině GOLD ENCOUNTER.

GOLD ENCOUNTER je známý pro cílení na hypervizory a nasazení šifrovacích modulů v prostředích VMware a ESXi. V rámci této kampaně útočníci zajišťují perzistenci a nenápadnost vytvořením naplánované úlohy s názvem TPMProfiler, která spustí skrytý virtuální stroj QEMU s oprávněními na úrovni SYSTEM.

Aby se zabránilo odhalení, škodlivé soubory virtuálních disků jsou maskovány jako legitimní databázové a DLL soubory. Navíc je nakonfigurováno přesměrování portů, které umožňuje skrytý přístup k infikovanému systému prostřednictvím reverzních SSH tunelů. Nasazený virtuální počítač běží na systému Alpine Linux 3.22.0 a obsahuje sadu nástrojů pro útočníky, jako jsou AdaptixC2, Chisel, BusyBox a Rclone.

Počáteční přístup a cesty využití

Útočníci prokázali flexibilitu v získávání počátečního přístupu a využívali více vstupních bodů v závislosti na cílovém prostředí. První incidenty zahrnovaly odhalené VPN systémy SonicWall, zatímco novější útoky zneužívaly chybu CVE-2025-26399.

Mezi další metody vniknutí pozorované v následných kampaních patří:

  • Narušení bezpečnosti odhalených služeb Cisco SSL VPN
  • Sociální inženýrství prostřednictvím Microsoft Teams, kde útočníci zosobňují IT pracovníky
  • Doručování škodlivých datových souborů pomocí Quick Assist

Tyto rozmanité přístupy zdůrazňují kombinaci technického zneužívání a klamání zaměřeného na člověka.

Operace po kompromitaci a krádež dat

Jakmile se útočníci dostanou do sítě, používají pokročilé techniky po zneužití k extrakci citlivých dat a eskalaci svého působení. Proces obvykle zahrnuje vytváření stínových kopií pomocí VSS (vssuirun.exe) a následné využití protokolů SMB ke kopírování kritických systémových souborů, jako jsou NTDS.dit, SAM a podregistry SYSTEM, do dočasných adresářů.

V pozdějších fázích jsou legitimní binární soubory, jako je ADNotificationManager.exe, zneužívány k načítání škodlivých dat, konkrétně komponenty Havoc C2 (vcruntime140_1.dll). K úniku dat dochází pomocí nástroje Rclone, který přenáší ukradené informace na vzdálené SFTP servery.

Možnosti ransomwaru a strategie šifrování

Ransomware Payouts King vykazuje vysokou technickou sofistikovanost. Obsahuje rozsáhlé techniky zatemňování a antianalýzy, aby se vyhnul odhalení, a zároveň si zachoval trvalost prostřednictvím naplánovaných úloh a deaktivoval bezpečnostní nástroje pomocí nízkoúrovňových systémových volání.

Jeho šifrovací mechanismus kombinuje AES-256 v režimu CTR s RSA-4096 a u větších souborů používá přerušované šifrování pro optimalizaci rychlosti a dopadu. Oběti jsou prostřednictvím výkupného odkázány na stránky s úniky dat na dark webu, což zvyšuje tlak hrozbou úniku dat.

Důkazy naznačují, že tato operace s ransomwarem může být spojena s bývalými členy skupiny Black Basta, a to na základě překrývajících se taktik, jako je spamové bombardování, phishing prostřednictvím Microsoft Teams a zneužívání nástrojů pro vzdálený přístup.

Klíčové ukazatele kompromisu, které je třeba sledovat

Aby se organizace mohly bránit této vyvíjející se hrozbě, měly by sledovat následující varovné signály:

  • Neoprávněné instalace nebo spuštění QEMU
  • Podezřelé naplánované úlohy spuštěné se zvýšenými systémovými oprávněními
  • Neobvyklá aktivita přesměrování portů SSH
  • Odchozí SSH tunely využívající nestandardní porty

Včasné odhalení těchto indikátorů může výrazně snížit riziko dlouhodobého ohrožení a ztráty dat.

Trendy

Podvod s e-mailem v oblasti zabezpečení webových...

Phishing, Spam
V dnešním prostředí hrozeb zůstává e-mail jedním z nejčastějších vstupních bodů pro kybernetické útoky. Uživatelé musí být ostražití při řešení neočekávaných zpráv, zejména těch, které naléhají na okamžitou akci. Mnoho z těchto e-mailů jsou pečlivě vytvořené podvody a je důležité si uvědomit, že nejsou spojeny s žádnými legitimními společnostmi, organizacemi ani subjekty, bez ohledu na to, jak...

Nejvíce shlédnuto

Načítání...