Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Izmaksas King Ransomware

Izmaksas King Ransomware

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:

Izspiedējvīrusa operācija “Payouts King” ir ieviesusi ļoti izvairīšanās tehniku, izmantojot QEMU kā apgrieztas SSH aizmugures durvis. Šī pieeja ļauj uzbrucējiem izvietot slēptas virtuālās mašīnas (VM) tieši uz apdraudētām sistēmām, efektīvi apejot tradicionālās galapunktu drošības kontroles.

QEMU, atvērtā koda centrālā procesora emulators un virtualizācijas platforma, ļauj operētājsistēmām darboties kā virtuālām mašīnām resursdatora ierīcē. Tā kā lielākā daļa drošības risinājumu nevar pārbaudīt aktivitātes šajās virtuālajās mašīnās, uzbrucēji izmanto šo aklo zonu, lai izpildītu ļaunprātīgas slodzes, uzglabātu kaitīgus datus un izveidotu slepenus attālās piekļuves tuneļus, izmantojot SSH savienojumus.

Šī taktika nav pilnīgi jauna. Līdzīga QEMU ļaunprātīga izmantošana ir novērota operācijās, kas saistītas ar tādām grupām kā 3AM izspiedējvīrusu grupa, LoudMiner un pikšķerēšanas kampaņa CRON#TRAP.

STAC4713 kampaņas ietvaros

Drošības pētnieki ir identificējuši divas galvenās kampaņas, kas saistītas ar QEMU izvietošanu, viena no tām ir izsekota kā STAC4713 un pirmo reizi tika novērota 2025. gada novembrī. Šī kampaņa ir tieši saistīta ar Payouts King izspiedējvīrusa operāciju un piedēvēta GOLD ENCOUNTER grupai.

GOLD ENCOUNTER ir pazīstams ar to, ka uzbrūk hipervizoriem un izvieto šifrētājus VMware un ESXi vidēs. Šīs kampaņas ietvaros uzbrucēji nodrošina noturību un slepenību, izveidojot ieplānotu uzdevumu ar nosaukumu TPMProfiler, kas palaiž slēptu QEMU virtuālo mašīnu ar SYSTEM līmeņa privilēģijām.

Lai izvairītos no atklāšanas, ļaunprātīgi virtuālo disku faili tiek maskēti kā likumīgi datubāzes un DLL faili. Turklāt portu pāradresācija ir konfigurēta tā, lai nodrošinātu slepenu piekļuvi inficētajai sistēmai, izmantojot reversos SSH tuneļus. Izvietotā virtuālā mašīna darbojas ar Alpine Linux 3.22.0 un ietver uzbrucēju utilītu komplektu, piemēram, AdaptixC2, Chisel, BusyBox un Rclone.

Sākotnējās piekļuves un izmantošanas ceļi

Uzbrucēji ir pierādījuši elastību sākotnējās piekļuves iegūšanā, izmantojot vairākus ieejas punktus atkarībā no mērķa vides. Agrīnie incidenti bija saistīti ar atklātām SonicWall VPN sistēmām, savukārt jaunākie uzbrukumi izmantoja CVE-2025-26399 trūkumu.

Papildu ielaušanās metodes, kas novērotas turpmākajās kampaņās, ietver:

  • Atsegtiem Cisco SSL VPN pakalpojumiem ir kompromitēts saturs
  • Sociālā inženierija, izmantojot Microsoft Teams, kur uzbrucēji uzdodas par IT darbiniekiem
  • Ļaunprātīgu vērtumu piegāde, izmantojot Quick Assist

Šīs dažādās pieejas izceļ tehniskas izmantošanas un uz cilvēkiem vērstas maldināšanas sajaukumu.

Pēckompromitēšanas operācijas un datu zādzības

Nonākot tīklā, uzbrucēji izmanto uzlabotas pēcierobežošanas metodes, lai iegūtu sensitīvus datus un palielinātu savu ietekmi. Process parasti ietver ēnu kopiju izveidi, izmantojot VSS (vssuirun.exe), kam seko SMB protokolu izmantošana, lai kopētu kritiskus sistēmas failus, piemēram, NTDS.dit, SAM un SYSTEM reģistra stropus, pagaidu direktorijās.

Vēlākos posmos likumīgi binārie faili, piemēram, ADNotificationManager.exe, tiek ļaunprātīgi izmantoti, lai sānielādētu ļaunprātīgus datus, īpaši Havoc C2 komponentu (vcruntime140_1.dll). Pēc tam, izmantojot Rclone, tiek veikta datu eksfiltrācija, pārsūtot nozagto informāciju uz attāliem SFTP serveriem.

Izspiedējvīrusu iespējas un šifrēšanas stratēģija

Izspiedējvīrusa “Payouts King” paveids demonstrē augstu tehnisko sarežģītību. Tas ietver plašas obfukcēšanas un antianalīzes metodes, lai izvairītos no atklāšanas, vienlaikus saglabājot noturību ieplānoto uzdevumu laikā un atspējojot drošības rīkus, izmantojot zema līmeņa sistēmas izsaukumus.

Tā šifrēšanas mehānisms apvieno AES-256 CTR režīmā ar RSA-4096, piemērojot periodisku šifrēšanu lielākiem failiem, lai optimizētu ātrumu un ietekmi. Cietušie tiek novirzīti uz tumšā tīmekļa noplūdes vietnēm, izmantojot izpirkuma prasības, palielinot spiedienu datu noplūdes draudu dēļ.

Pierādījumi liecina, ka šī izspiedējvīrusu operācija varētu būt saistīta ar bijušajiem Black Basta grupas dalībniekiem, pamatojoties uz pārklājošām taktikām, piemēram, surogātpasta bombardēšanu, pikšķerēšanu, izmantojot Microsoft Teams, un attālās piekļuves rīku ļaunprātīgu izmantošanu.

Galvenie kompromisa rādītāji, kas jāuzrauga

Lai aizsargātos pret šo mainīgo apdraudējumu, organizācijām jāuzrauga šādas brīdinājuma zīmes:

  • Neatļauta QEMU instalēšana vai izpilde
  • Aizdomīgi ieplānoti uzdevumi, kas darbojas ar paaugstinātām SISTĒMAS privilēģijām
  • Neparasta SSH portu pāradresācijas aktivitāte
  • Izejošie SSH tuneļi, izmantojot nestandarta portus

Šo indikatoru agrīna atklāšana var ievērojami samazināt ilgstošas kompromitēšanas un datu zuduma risku.

Tendences

Tīmekļa lietotņu drošības e-pasta krāpniecība

Pikšķerēšana, Mēstules
Mūsdienu apdraudējumu ainavā e-pasts joprojām ir viens no visizplatītākajiem kiberuzbrukumu ieejas punktiem. Lietotājiem ir jābūt modriem, saskaroties ar negaidītiem ziņojumiem, īpaši tiem, kas aicina nekavējoties rīkoties. Daudzi no šiem e-pastiem ir rūpīgi izstrādāti krāpniecības ziņojumi, un ir svarīgi saprast, ka tie nav saistīti ar likumīgiem uzņēmumiem, organizācijām vai vienībām, lai cik...

Visvairāk skatīts

Notiek ielāde...