Rabattilbud med flere licenser
Trusseldatabase Ransomware Udbetalinger King Ransomware

Udbetalinger King Ransomware

Med Mezo i Ransomware
Oversæt til:

Ransomware-operationen Payouts King har introduceret en yderst undvigelsesvenlig teknik ved at udnytte QEMU som en omvendt SSH-bagdør. Denne tilgang giver angribere mulighed for at installere skjulte virtuelle maskiner (VM'er) direkte på kompromitterede systemer og dermed effektivt omgå traditionelle endpoint-sikkerhedskontroller.

QEMU, en open source CPU-emulator og virtualiseringsplatform, gør det muligt for operativsystemer at køre som virtuelle maskiner på en værtsenhed. Da de fleste sikkerhedsløsninger ikke kan inspicere aktivitet inde i disse VM'er, udnytter angribere denne blinde vinkel til at udføre ondsindede data, gemme skadelige data og etablere skjulte fjernadgangstunneler via SSH-forbindelser.

Denne taktik er ikke helt ny. Lignende misbrug af QEMU er blevet observeret i operationer forbundet med grupper som 3AM ransomware-gruppen, LoudMiner og CRON#TRAP phishing-kampagnen.

Inde i STAC4713-kampagnen

Sikkerhedsforskere har identificeret to større kampagner, der involverer QEMU-implementering, hvoraf den ene er sporet som STAC4713, først observeret i november 2025. Denne kampagne er blevet direkte forbundet med Payouts King ransomware-operationen og tilskrevet GOLD ENCOUNTER-gruppen.

GOLD ENCOUNTER er kendt for at målrette hypervisorer og implementere krypteringsprogrammer i VMware- og ESXi-miljøer. Inden for denne kampagne etablerer angriberne persistens og stealth ved at oprette en planlagt opgave kaldet TPMProfiler, som starter en skjult QEMU virtuel maskine med SYSTEM-niveaurettigheder.

For at undgå opdagelse er skadelige virtuelle diskfiler forklædt som legitime database- og DLL-filer. Derudover er portvideresendelse konfigureret til at muliggøre skjult adgang til det inficerede system via omvendte SSH-tunneler. Den installerede VM kører Alpine Linux 3.22.0 og inkluderer et værktøjssæt med angriberværktøjer som AdaptixC2, Chisel, BusyBox og Rclone.

Indledende adgang og udnyttelsesveje

Angribere har vist fleksibilitet i at opnå initial adgang ved hjælp af flere adgangspunkter afhængigt af målmiljøet. Tidlige hændelser involverede eksponerede SonicWall VPN-systemer, mens nyere angreb udnyttede CVE-2025-26399-fejlen.

Yderligere indtrængningsmetoder observeret i efterfølgende kampagner omfatter:

  • Kompromittering af eksponerede Cisco SSL VPN-tjenester
  • Social engineering via Microsoft Teams, hvor angribere udgiver sig for at være IT-personale
  • Levering af ondsindede nyttelast via Quick Assist

Disse forskellige tilgange fremhæver en blanding af teknisk udnyttelse og menneskerettet bedrag.

Operationer efter kompromittering og datatyveri

Når angribere er inde i et netværk, anvender de avancerede efterudnyttelsesteknikker til at udtrække følsomme data og eskalere deres fodfæste. Processen involverer typisk oprettelse af skyggekopier ved hjælp af VSS (vssuirun.exe), efterfulgt af udnyttelse af SMB-protokoller til at kopiere kritiske systemfiler såsom NTDS.dit, SAM og SYSTEM registreringsdatabasehives til midlertidige mapper.

I senere stadier misbruges legitime binære filer som ADNotificationManager.exe til at sideloade ondsindede data, specifikt en Havoc C2-komponent (vcruntime140_1.dll). Dataudrensning udføres derefter ved hjælp af Rclone, hvor stjålne oplysninger overføres til eksterne SFTP-servere.

Ransomware-funktioner og krypteringsstrategi

Ransomware-stammen Payouts King demonstrerer stærk teknisk sofistikering. Den inkorporerer omfattende obfuskations- og antianalyseteknikker for at undgå detektion, samtidig med at den opretholder persistens gennem planlagte opgaver og deaktiverer sikkerhedsværktøjer via lavniveau-systemkald.

Dens krypteringsmekanisme kombinerer AES-256 i CTR-tilstand med RSA-4096, og anvender intermitterende kryptering til større filer for at optimere hastighed og effekt. Ofre ledes til dark web-lækagesider via løsesumsnotater, hvilket øger presset gennem truslen om dataeksponering.

Beviser tyder på, at denne ransomware-operation kan være knyttet til tidligere associerede selskaber med Black Basta-gruppen, baseret på overlappende taktikker såsom spambombning, phishing via Microsoft Teams og misbrug af fjernadgangsværktøjer.

Nøgleindikatorer for kompromis at holde øje med

For at forsvare sig mod denne udviklende trussel bør organisationer overvåge følgende advarselstegn:

  • Uautoriserede installationer eller udførelse af QEMU
  • Mistænkelige planlagte opgaver kører med forhøjede SYSTEM-rettigheder
  • Usædvanlig SSH-portvideresendelsesaktivitet
  • Udgående SSH-tunneler ved hjælp af ikke-standardporte

Tidlig opdagelse af disse indikatorer kan reducere risikoen for langvarig kompromittering og datatab betydeligt.

Trending

Mest sete

Indlæser...