Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Išmokos „King Ransomware“

Išmokos „King Ransomware“

Autorius Mezo, Ransomware
Versti į:

„Payouts King“ išpirkos reikalaujanti programa įdiegė itin išgaunamą techniką, panaudojant QEMU kaip atvirkštinius SSH galinius duris. Šis metodas leidžia užpuolikams diegti paslėptas virtualias mašinas (VM) tiesiai pažeistose sistemose, efektyviai apeinant tradicines galinių taškų saugumo kontrolės priemones.

„QEMU“ – atvirojo kodo procesoriaus emuliatorius ir virtualizacijos platforma, leidžianti operacinėms sistemoms veikti kaip virtualioms mašinoms pagrindiniame įrenginyje. Kadangi dauguma saugumo sprendimų negali tikrinti veiklos šiose virtualiose mašinose, užpuolikai išnaudoja šią akląją zoną, kad vykdytų kenkėjiškas apkrovas, saugotų žalingus duomenis ir sukurtų slaptus nuotolinės prieigos tunelius per SSH ryšius.

Ši taktika nėra visiškai nauja. Panašus QEMU piktnaudžiavimas buvo pastebėtas operacijose, susijusiose su tokiomis grupėmis kaip „3AM“ išpirkos reikalaujanti programa, „LoudMiner“ ir sukčiavimo kampanija „CRON#TRAP“.

STAC4713 kampanijos viduje

Saugumo tyrėjai nustatė dvi pagrindines kampanijas, susijusias su QEMU diegimu, viena iš jų, kaip STAC4713, pirmą kartą pastebėta 2025 m. lapkritį. Ši kampanija buvo tiesiogiai susieta su „Payouts King“ išpirkos reikalaujančios programinės įrangos operacija ir priskirta GOLD ENCOUNTER grupei.

„GOLD ENCOUNTER“ yra žinomas dėl to, kad taikosi į hipervizorius ir diegia šifravimo programas „VMware“ ir „ESXi“ aplinkose. Šios kampanijos metu užpuolikai užtikrina atkaklumą ir slaptumą sukurdami suplanuotą užduotį pavadinimu „TPMProfiler“, kuri paleidžia paslėptą QEMU virtualią mašiną su SISTEMOS lygio teisėmis.

Siekiant išvengti aptikimo, kenkėjiški virtualių diskų failai yra užmaskuoti kaip teisėti duomenų bazės ir DLL failai. Be to, prievadų peradresavimas sukonfigūruotas taip, kad būtų galima slapta pasiekti užkrėstą sistemą per atvirkštinius SSH tunelius. Įdiegtoje virtualioje mašinoje veikia „Alpine Linux 3.22.0“ ir yra užpuolikų įrankių rinkinys, pvz., „AdaptixC2“, „Chisel“, „BusyBox“ ir „Rclone“.

Pradinės prieigos ir išnaudojimo būdai

Užpuolikai pademonstravo lankstumą gaudami pradinę prieigą, naudodami kelis įėjimo taškus, priklausomai nuo tikslinės aplinkos. Ankstyvieji incidentai buvo susiję su „SonicWall“ VPN sistemų nutekėjimu, o naujesnės atakos išnaudojo CVE-2025-26399 spragą.

Papildomi įsilaužimo metodai, pastebėti vėlesnėse kampanijose, yra šie:

  • Pavojingų „Cisco SSL VPN“ paslaugų kompromitavimas
  • Socialinė inžinerija per „Microsoft Teams“, kai užpuolikai apsimetinėja IT darbuotojais
  • Kenkėjiškų naudingųjų krovinių pristatymas naudojant „Quick Assist“

Šie įvairūs metodai išryškina techninio išnaudojimo ir į žmones nukreiptos apgaulės derinį.

Operacijos po kompromitacijos ir duomenų vagystės

Patekę į tinklą, užpuolikai naudoja pažangias atakų prevencijos technikas, kad išgautų neskelbtinus duomenis ir padidintų savo įtaką. Paprastai šis procesas apima šešėlinių kopijų kūrimą naudojant VSS (vssuirun.exe), o po to, naudojant SMB protokolus, svarbiems sistemos failams, pvz., NTDS.dit, SAM ir SYSTEM registro failams, nukopijuoti į laikinus katalogus.

Vėlesniuose etapuose piktnaudžiaujama teisėtais dvejetainiais failais, tokiais kaip ADNotificationManager.exe, siekiant įkelti kenkėjiškus duomenis, konkrečiai „Havoc C2“ komponentą (vcruntime140_1.dll). Duomenų nutekėjimas atliekamas naudojant „Rclone“, pavogtą informaciją perduodant į nuotolinius SFTP serverius.

Išpirkos reikalaujančių programų galimybės ir šifravimo strategija

„Payouts King“ išpirkos reikalaujančios programinės įrangos atmaina pasižymi dideliu techniniu sudėtingumu. Ji naudoja išsamius kodavimo ir antianalizės metodus, kad išvengtų aptikimo, tuo pačiu išlaikydama atsparumą suplanuotoms užduotims ir išjungdama saugos įrankius žemo lygio sistemos iškvietimais.

Jo šifravimo mechanizmas sujungia AES-256 CTR režimu su RSA-4096, taikydamas protarpinį šifravimą didesniems failams, siekiant optimizuoti greitį ir poveikį. Aukos nukreipiamos į tamsiąsias interneto nutekėjimo svetaines per išpirkos reikalaujančius laiškus, taip padidinant spaudimą dėl duomenų nutekėjimo grėsmės.

Įrodymai rodo, kad ši išpirkos reikalaujančios programinės įrangos operacija gali būti susijusi su buvusiais „Black Basta“ grupės nariais, remiantis tokiais sutampančiais taktiniais veiksmais kaip brukalo bombardavimas, sukčiavimas per „Microsoft Teams“ ir nuotolinės prieigos įrankių piktnaudžiavimas.

Pagrindiniai kompromiso rodikliai, į kuriuos reikia atkreipti dėmesį

Siekdamos apsisaugoti nuo šios besikeičiančios grėsmės, organizacijos turėtų stebėti šiuos įspėjamuosius ženklus:

  • Neteisėtas QEMU diegimas arba vykdymas
  • Įtartinos suplanuotos užduotys, vykdomos su padidintomis SISTEMOS teisėmis
  • Neįprasta SSH prievadų peradresavimo veikla
  • Išeinantys SSH tuneliai naudojant nestandartinius prievadus

Ankstyvas šių rodiklių aptikimas gali gerokai sumažinti ilgalaikio duomenų pažeidimo ir praradimo riziką.

Tendencijos

Žiniatinklio programų saugumo el. laiškų sukčiavimas

Sukčiavimas, Šlamštas
Šiandieninėje grėsmių aplinkoje el. paštas išlieka vienu iš dažniausių kibernetinių atakų patekimo taškų. Vartotojai turi būti budrūs, gavę netikėtų pranešimų, ypač tų, kuriuose raginama imtis neatidėliotinų veiksmų. Daugelis šių el. laiškų yra kruopščiai parengtos sukčiavimo schemos, ir svarbu suprasti, kad jos nėra susijusios su jokiomis teisėtomis įmonėmis, organizacijomis ar subjektais, kad...

Labiausiai žiūrima

Įkeliama...