Ponuda s popustom na više licenci
Baza prijetnji Ransomware Isplate King Ransomware

Isplate King Ransomware

Do Mezo. Ransomware. godine
Prevedi na:

Operacija ransomwarea Payouts King uvela je vrlo izbjegavajuću tehniku koristeći QEMU kao obrnuti SSH backdoor. Ovaj pristup omogućuje napadačima da izravno postave skrivene virtualne strojeve (VM) na kompromitirane sustave, učinkovito zaobilazeći tradicionalne sigurnosne kontrole krajnjih točaka.

QEMU, emulator CPU-a i platforma za virtualizaciju otvorenog koda, omogućuje operativnim sustavima pokretanje kao virtualnih strojeva na host uređaju. Budući da većina sigurnosnih rješenja ne može provjeravati aktivnosti unutar tih virtualnih strojeva, napadači iskorištavaju ovu slijepu točku za izvršavanje zlonamjernih tereta, pohranjivanje štetnih podataka i uspostavljanje tajnih tunela za udaljeni pristup putem SSH veza.

Ova taktika nije posve nova. Slična zlouporaba QEMU-a uočena je u operacijama povezanim s grupama kao što su 3AM ransomware grupa, LoudMiner i CRON#TRAP phishing kampanja.

Unutar kampanje STAC4713

Sigurnosni istraživači identificirali su dvije velike kampanje koje uključuju implementaciju QEMU-a, a jedna je praćena kao STAC4713, prvi put uočena u studenom 2025. Ova kampanja izravno je povezana s operacijom ransomwarea Payouts King i pripisana je grupi GOLD ENCOUNTER.

GOLD ENCOUNTER je poznat po ciljanju hipervizora i postavljanju enkriptora u VMware i ESXi okruženjima. Unutar ove kampanje, napadači uspostavljaju upornost i prikrivenost stvaranjem zakazanog zadatka pod nazivom TPMProfiler, koji pokreće skriveni virtualni stroj QEMU s privilegijama na razini SYSTEM.

Kako bi se izbjeglo otkrivanje, zlonamjerne datoteke virtualnog diska maskirane su kao legitimne datoteke baze podataka i DLL datoteke. Osim toga, prosljeđivanje portova konfigurirano je kako bi se omogućio prikriveni pristup zaraženom sustavu putem obrnutih SSH tunela. Implementirani virtualni stroj pokreće Alpine Linux 3.22.0 i uključuje skup alata za napadače kao što su AdaptixC2, Chisel, BusyBox i Rclone.

Početni pristup i putevi iskorištavanja

Napadači su pokazali fleksibilnost u dobivanju početnog pristupa, koristeći više ulaznih točaka ovisno o ciljanom okruženju. Rani incidenti uključivali su izložene SonicWall VPN sustave, dok su noviji napadi iskoristili propust CVE-2025-26399.

Dodatne metode upada uočene u sljedećim kampanjama uključuju:

  • Kompromitacija izloženih Cisco SSL VPN usluga
  • Socijalni inženjering putem Microsoft Teamsa, gdje napadači lažno predstavljaju IT osoblje
  • Dostava zlonamjernih sadržaja putem Quick Assista

Ovi raznoliki pristupi ističu mješavinu tehničkog iskorištavanja i obmane usmjerene na ljude.

Postkompromisne operacije i krađa podataka

Jednom kada uđu u mrežu, napadači koriste napredne tehnike nakon iskorištavanja kako bi izvukli osjetljive podatke i proširili svoje djelovanje. Proces obično uključuje stvaranje sjeninih kopija pomoću VSS-a (vssuirun.exe), nakon čega slijedi korištenje SMB protokola za kopiranje kritičnih sistemskih datoteka kao što su NTDS.dit, SAM i SYSTEM registarske košnice u privremene direktorije.

U kasnijim fazama, legitimne binarne datoteke poput ADNotificationManager.exe zlorabe se za bočno učitavanje zlonamjernih podataka, posebno komponente Havoc C2 (vcruntime140_1.dll). Zatim se provodi krađa podataka pomoću Rclonea, prenoseći ukradene informacije na udaljene SFTP poslužitelje.

Mogućnosti ransomwarea i strategija šifriranja

Ransomware soj Payouts King pokazuje snažnu tehničku sofisticiranost. Uključuje opsežne tehnike obfuskacije i anti-analize kako bi izbjegao otkrivanje, a istovremeno održava postojanost putem zakazanih zadataka i onemogućava sigurnosne alate putem sistemskih poziva niske razine.

Njegov mehanizam šifriranja kombinira AES-256 u CTR načinu rada s RSA-4096, primjenjujući isprekidano šifriranje za veće datoteke kako bi se optimizirala brzina i utjecaj. Žrtve se usmjeravaju na web-mjesta za curenje podataka na mračnom webu putem poruka s zahtjevom za otkupninom, povećavajući pritisak prijetnjom izlaganja podataka.

Dokazi upućuju na to da bi ova operacija ransomwarea mogla biti povezana s bivšim suradnicima grupe Black Basta, na temelju preklapajućih taktika poput bombardiranja neželjenom poštom, phishinga putem Microsoft Teamsa i zlouporabe alata za udaljeni pristup.

Ključni pokazatelji kompromisa koje treba pratiti

Kako bi se obranile od ove rastuće prijetnje, organizacije bi trebale pratiti sljedeće znakove upozorenja:

  • Neovlaštene instalacije ili izvršavanje QEMU-a
  • Sumnjivi planirani zadaci koji se izvršavaju s povišenim SYSTEM privilegijama
  • Neobična aktivnost prosljeđivanja SSH portova
  • Izlazni SSH tuneli koji koriste nestandardne portove

Rano otkrivanje ovih pokazatelja može značajno smanjiti rizik od dugotrajnog kompromitiranja i gubitka podataka.

U trendu

Prijevara putem e-pošte o sigurnosti web aplikacija

Krađa identiteta, Spam
U današnjem okruženju prijetnji, e-pošta ostaje jedna od najčešćih ulaznih točaka za kibernetičke napade. Korisnici moraju biti oprezni pri suočavanju s neočekivanim porukama, posebno onima koje potiču na hitno djelovanje. Mnoge od ovih e-poruka pažljivo su osmišljene prijevare i važno je razumjeti da nisu povezane ni s jednom legitimnom tvrtkom, organizacijom ili entitetom, unatoč tome koliko...

Nagledanije

Učitavam...