Monen lisenssin alennustarjous
Uhatietokanta Ransomware Maksut King Ransomware

Maksut King Ransomware

Vuonna Mezo vuonna Ransomware
Käännä:

Payouts King -kiristysohjelmaoperaatio on ottanut käyttöön erittäin välttelevän tekniikan hyödyntämällä QEMU:ta käänteisenä SSH-takaporttina. Tämä lähestymistapa antaa hyökkääjille mahdollisuuden asentaa piilotettuja virtuaalikoneita (VM) suoraan vaarantuneisiin järjestelmiin ohittaen tehokkaasti perinteiset päätepisteiden suojausmekanismit.

QEMU, avoimen lähdekoodin suorittimen emulaattori ja virtualisointialusta, mahdollistaa käyttöjärjestelmien suorittamisen virtuaalikoneina isäntälaitteella. Koska useimmat tietoturvaratkaisut eivät pysty tarkastamaan näiden virtuaalikoneiden sisäistä toimintaa, hyökkääjät hyödyntävät tätä sokeaa pistettä suorittaakseen haitallisia hyötykuormia, tallentaakseen haitallisia tietoja ja luodakseen salaisia etäkäyttötunneleita SSH-yhteyksien kautta.

Tämä taktiikka ei ole täysin uusi. Samanlaista QEMU:n väärinkäyttöä on havaittu toiminnoissa, jotka liittyvät esimerkiksi 3AM-kiristysohjelmaryhmään, LoudMineriin ja CRON#TRAP-tietojenkalastelukampanjaan.

STAC4713-kampanjan sisällä

Tietoturvatutkijat ovat tunnistaneet kaksi merkittävää QEMU-käyttöönottoa sisältävää kampanjaa. Toinen niistä tunnistettiin nimellä STAC4713 ja havaittiin ensimmäisen kerran marraskuussa 2025. Tämä kampanja on yhdistetty suoraan Payouts King -kiristysohjelmaoperaatioon ja liitetty GOLD ENCOUNTER -ryhmään.

GOLD ENCOUNTER tunnetaan hypervisorien kohdistamisesta ja salausohjelmien käyttöönotosta VMware- ja ESXi-ympäristöissä. Tässä kampanjassa hyökkääjät luovat pysyvyyden ja piilovaikutuksen luomalla ajoitetun tehtävän nimeltä TPMProfiler, joka käynnistää piilotetun QEMU-virtuaalikoneen SYSTEM-tason oikeuksilla.

Havaitsemisen välttämiseksi haitalliset virtuaalilevytiedostot naamioidaan laillisiksi tietokanta- ja DLL-tiedostoiksi. Lisäksi portin edelleenlähetys on määritetty mahdollistamaan peitelty pääsy tartunnan saaneeseen järjestelmään käänteisten SSH-tunnelien kautta. Käyttöön otettu virtuaalikone käyttää Alpine Linux 3.22.0 -käyttöjärjestelmää ja sisältää hyökkääjätyökaluja, kuten AdaptixC2, Chisel, BusyBox ja Rclone.

Alkuperäiset käyttö- ja hyödyntämisreitit

Hyökkääjät ovat osoittaneet joustavuutta alkupääsyn hankkimisessa käyttämällä useita sisäänpääsypisteitä kohdeympäristöstä riippuen. Varhaisissa hyökkäyksissä käytettiin paljastuneita SonicWall VPN -järjestelmiä, kun taas uudemmissa hyökkäyksissä hyödynnettiin CVE-2025-26399-haavoittuvuutta.

Myöhemmissä kampanjoissa havaittuja lisätunkeutumismenetelmiä ovat:

  • Vaarantuneet Cisco SSL VPN -palvelut vaarantuvat
  • Sosiaalinen manipulointi Microsoft Teamsin kautta, jossa hyökkääjät esiintyvät IT-henkilöstönä
  • Haitallisten hyötykuormien toimittaminen Quick Assistin kautta

Nämä vaihtelevat lähestymistavat korostavat teknisen hyväksikäytön ja ihmisiin kohdistuvan petoksen yhdistelmää.

Tietomurron jälkeiset toiminnot ja tietovarkaudet

Päästyään verkon sisälle hyökkääjät käyttävät edistyneitä hyväksikäytön jälkeisiä tekniikoita arkaluonteisten tietojen purkamiseen ja jalansijan laajentamiseen. Prosessiin kuuluu tyypillisesti varjokopioiden luominen VSS:n (vssuirun.exe) avulla, minkä jälkeen käytetään SMB-protokollia kriittisten järjestelmätiedostojen, kuten NTDS.dit-, SAM- ja SYSTEM-rekisterirakenteiden, kopioimiseen väliaikaisiin hakemistoihin.

Myöhemmissä vaiheissa laillisia binääritiedostoja, kuten ADNotificationManager.exe, käytetään haitallisten hyötykuormien, erityisesti Havoc C2 -komponentin (vcruntime140_1.dll), sivulataamiseen. Tietojen vuotaminen suoritetaan sitten Rclone-työkalulla, jolla varastetut tiedot siirretään SFTP-etäpalvelimille.

Kiristysohjelmien ominaisuudet ja salausstrategia

Payouts King -kiristysohjelmatyyppi on teknisesti erittäin hienostunut. Se sisältää laajoja hämärtämis- ja analysoinnin estotekniikoita välttääkseen havaitsemisen, samalla kun se pysyy perillä ajoitetuista tehtävistä ja poistaa käytöstä tietoturvatyökaluja matalan tason järjestelmäkutsuilla.

Sen salausmekanismi yhdistää AES-256-salaustekniikan CTR-tilassa RSA-4096-salaustekniikkaan ja käyttää ajoittaista salausta suuremmille tiedostoille nopeuden ja tehokkuuden optimoimiseksi. Uhrit ohjataan pimeän verkon vuotosivustoille kiristysviestien kautta, mikä lisää painetta tietojen paljastumisen uhan kautta.

Todisteet viittaavat siihen, että tämä kiristyshaittaohjelmaoperaatio saattaa olla yhteydessä Black Basta -ryhmän entisiin yhteistyökumppaneihin päällekkäisten taktiikoiden, kuten roskapostipommitusten, Microsoft Teamsin kautta tapahtuvan tietojenkalastelun ja etäkäyttötyökalujen väärinkäytön, perusteella.

Keskeiset kompromisseja osoittavat indikaattorit, joita on seurattava

Puolustautuakseen tältä kehittyvältä uhalta organisaatioiden tulisi seurata seuraavia varoitusmerkkejä:

  • Luvattomat QEMU-asennukset tai -suoritukset
  • Epäilyttävät ajoitetut tehtävät suoritetaan laajennetuilla JÄRJESTELMÄN oikeuksilla
  • Epätavallinen SSH-porttien edelleenlähetystoiminta
  • Lähtevät SSH-tunnelit epästandardeja portteja käyttäen

Näiden indikaattoreiden varhainen havaitseminen voi merkittävästi vähentää pitkittyneen tietomurron ja tietojen menetyksen riskiä.

Trendaavat

Verkkosovellusten tietoturvaan liittyvä...

Tietojenkalastelu, Roskaposti
Nykypäivän uhkakuvissa sähköposti on edelleen yksi yleisimmistä kyberhyökkäysten sisäänpääsykohdista. Käyttäjien on oltava valppaina odottamattomien viestien suhteen, erityisesti sellaisten, jotka vaativat välittömiä toimia. Monet näistä sähköposteista ovat huolellisesti laadittuja huijauksia, ja on tärkeää ymmärtää, että ne eivät liity mihinkään laillisiin yrityksiin, organisaatioihin tai...

Eniten katsottu

Ladataan...