Ransomware Payouts King

Entro Mezo nel Riscatto

Traduci in:

Il ransomware Payouts King ha introdotto una tecnica estremamente elusiva sfruttando QEMU come backdoor SSH inversa. Questo approccio consente agli aggressori di installare macchine virtuali (VM) nascoste direttamente sui sistemi compromessi, aggirando di fatto i tradizionali controlli di sicurezza degli endpoint.

QEMU, un emulatore di CPU e piattaforma di virtualizzazione open source, consente ai sistemi operativi di essere eseguiti come macchine virtuali su un dispositivo host. Poiché la maggior parte delle soluzioni di sicurezza non è in grado di ispezionare l'attività all'interno di queste macchine virtuali, gli aggressori sfruttano questa falla di sicurezza per eseguire payload dannosi, archiviare dati pericolosi e stabilire tunnel di accesso remoto nascosti tramite connessioni SSH.

Questa tattica non è del tutto nuova. Simili abusi di QEMU sono stati osservati in operazioni legate a gruppi come il ransomware 3AM, LoudMiner e la campagna di phishing CRON#TRAP.

Sommario

All’interno della campagna STAC4713

I ricercatori di sicurezza hanno identificato due importanti campagne che coinvolgono l'implementazione di QEMU, una delle quali, identificata come STAC4713, è stata osservata per la prima volta nel novembre 2025. Questa campagna è stata direttamente collegata all'operazione ransomware Payouts King ed è stata attribuita al gruppo GOLD ENCOUNTER.

GOLD ENCOUNTER è noto per prendere di mira gli hypervisor e implementare software di crittografia negli ambienti VMware ed ESXi. Nell'ambito di questa campagna, gli aggressori ottengono persistenza e furtività creando un'attività pianificata denominata TPMProfiler, che avvia una macchina virtuale QEMU nascosta con privilegi di livello SYSTEM.

Per evitare il rilevamento, i file dannosi del disco virtuale vengono camuffati da file di database e DLL legittimi. Inoltre, è configurato il port forwarding per consentire l'accesso occulto al sistema infetto tramite tunnel SSH inversi. La macchina virtuale distribuita esegue Alpine Linux 3.22.0 e include un toolkit di utilità per attacchi come AdaptixC2, Chisel, BusyBox e Rclone.

Percorsi di accesso iniziale e di sfruttamento

Gli aggressori hanno dimostrato flessibilità nell'ottenere l'accesso iniziale, utilizzando molteplici punti di ingresso a seconda dell'ambiente bersaglio. I primi incidenti hanno coinvolto sistemi VPN SonicWall esposti, mentre attacchi più recenti hanno sfruttato la vulnerabilità CVE-2025-26399.

Ulteriori metodi di intrusione osservati nelle campagne successive includono:

Compromissione dei servizi Cisco SSL VPN esposti
Ingegneria sociale tramite Microsoft Teams, in cui gli aggressori si spacciano per personale IT
Distribuzione di payload dannosi tramite Quick Assist

Questi diversi approcci mettono in luce una combinazione di sfruttamento tecnico e inganno mirato alle persone.

Operazioni post-compromissione e furto di dati

Una volta penetrati in una rete, gli aggressori utilizzano tecniche avanzate di post-sfruttamento per estrarre dati sensibili e consolidare il proprio controllo. Il processo in genere prevede la creazione di copie shadow tramite VSS (vssuirun.exe), seguita dallo sfruttamento dei protocolli SMB per copiare file di sistema critici come NTDS.dit, SAM e le chiavi di registro SYSTEM in directory temporanee.

Nelle fasi successive, file binari legittimi come ADNotificationManager.exe vengono sfruttati per installare payload dannosi, in particolare un componente Havoc C2 (vcruntime140_1.dll). L'esfiltrazione dei dati viene quindi effettuata tramite Rclone, trasferendo le informazioni rubate a server SFTP remoti.

Capacità e strategia di crittografia del ransomware

Il ransomware Payouts King dimostra una notevole sofisticazione tecnica. Incorpora ampie tecniche di offuscamento e anti-analisi per eludere il rilevamento, mantenendo al contempo la persistenza attraverso attività pianificate e disabilitando gli strumenti di sicurezza tramite chiamate di sistema di basso livello.

Il suo meccanismo di crittografia combina AES-256 in modalità CTR con RSA-4096, applicando una crittografia intermittente per i file di grandi dimensioni al fine di ottimizzare velocità ed efficacia. Le vittime vengono indirizzate verso siti del dark web contenenti fughe di dati tramite richieste di riscatto, aumentando la pressione con la minaccia di divulgazione dei dati.

Le prove suggeriscono che questa operazione ransomware potrebbe essere collegata a ex affiliati del gruppo Black Basta, in base a tattiche sovrapposte come l'invio massivo di spam, il phishing tramite Microsoft Teams e l'abuso di strumenti di accesso remoto.

Indicatori chiave di compromissione da monitorare

Per difendersi da questa minaccia in continua evoluzione, le organizzazioni dovrebbero monitorare i seguenti segnali di allarme:

Installazioni o esecuzioni non autorizzate di QEMU
Attività pianificate sospette in esecuzione con privilegi SYSTEM elevati
Attività insolita di inoltro delle porte SSH
Tunnel SSH in uscita tramite porte non standard

L'individuazione precoce di questi indicatori può ridurre significativamente il rischio di compromissione prolungata e perdita di dati.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Ransomware Payouts King

All’interno della campagna STAC4713

Percorsi di accesso iniziale e di sfruttamento

Operazioni post-compromissione e furto di dati

Capacità e strategia di crittografia del ransomware

Indicatori chiave di compromissione da monitorare

Invia commento

Tendenza

Malware SnappyClient

Forestrievic.com

Truffa via email sulla sicurezza delle applicazioni web

I più visti

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...

Eporner.com