Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Utbetalinger King Ransomware

Utbetalinger King Ransomware

Med Mezo i løsepengeprogramvare
Oversett til:

Løsepengevirusoperasjonen Payouts King har introdusert en svært unnvikende teknikk ved å utnytte QEMU som en omvendt SSH-bakdør. Denne tilnærmingen lar angripere distribuere skjulte virtuelle maskiner (VM-er) direkte på kompromitterte systemer, og effektivt omgå tradisjonelle sikkerhetskontroller for endepunkter.

QEMU, en CPU-emulator og virtualiseringsplattform med åpen kildekode, lar operativsystemer kjøre som virtuelle maskiner på en vertsenhet. Fordi de fleste sikkerhetsløsninger ikke kan inspisere aktivitet inne i disse virtuelle maskinene, utnytter angripere denne blindsonen til å kjøre ondsinnede nyttelaster, lagre skadelige data og etablere skjulte fjerntilgangstunneler via SSH-tilkoblinger.

Denne taktikken er ikke helt ny. Lignende misbruk av QEMU har blitt observert i operasjoner knyttet til grupper som 3AM ransomware-gruppen, LoudMiner og CRON#TRAP phishing-kampanjen.

Inne i STAC4713-kampanjen

Sikkerhetsforskere har identifisert to store kampanjer som involverer QEMU-utrulling, hvorav én er sporet som STAC4713, først observert i november 2025. Denne kampanjen har blitt direkte knyttet til Payouts King-ransomware-operasjonen og tilskrevet GOLD ENCOUNTER-gruppen.

GOLD ENCOUNTER er kjent for å målrette hypervisorer og distribuere krypteringsprogrammer i VMware- og ESXi-miljøer. Innenfor denne kampanjen etablerer angripere utholdenhet og stealth ved å opprette en planlagt oppgave kalt TPMProfiler, som starter en skjult QEMU virtuell maskin med SYSTEM-nivårettigheter.

For å unngå oppdagelse er skadelige virtuelle diskfiler kamuflert som legitime database- og DLL-filer. I tillegg er portvideresending konfigurert for å muliggjøre skjult tilgang til det infiserte systemet gjennom omvendte SSH-tunneler. Den distribuerte virtuelle maskinen kjører Alpine Linux 3.22.0 og inkluderer et verktøysett med angriperverktøy som AdaptixC2, Chisel, BusyBox og Rclone.

Innledende tilgang og utnyttelsesveier

Angripere har vist fleksibilitet i å få initial tilgang, ved å bruke flere inngangspunkter avhengig av målmiljøet. Tidlige hendelser involverte eksponerte SonicWall VPN-systemer, mens nyere angrep utnyttet CVE-2025-26399-feilen.

Ytterligere inntrengingsmetoder observert i påfølgende kampanjer inkluderer:

  • Kompromittering av eksponerte Cisco SSL VPN-tjenester
  • Sosial manipulering via Microsoft Teams, der angripere utgir seg for å være IT-personell
  • Levering av ondsinnede nyttelaster via Quick Assist

Disse varierte tilnærmingene fremhever en blanding av teknisk utnyttelse og menneskerettet bedrag.

Operasjoner etter kompromittering og datatyveri

Når angripere er inne i et nettverk, bruker de avanserte etterutnyttelsesteknikker for å trekke ut sensitive data og eskalere fotfestet sitt. Prosessen innebærer vanligvis å lage skyggekopier ved hjelp av VSS (vssuirun.exe), etterfulgt av å bruke SMB-protokoller for å kopiere kritiske systemfiler som NTDS.dit, SAM og SYSTEM registerhives til midlertidige mapper.

I senere stadier misbrukes legitime binærfiler som ADNotificationManager.exe til å sidelaste skadelige nyttelaster, nærmere bestemt en Havoc C2-komponent (vcruntime140_1.dll). Datautfiltrering utføres deretter ved hjelp av Rclone, og stjålet informasjon overføres til eksterne SFTP-servere.

Løsepengevirusfunksjoner og krypteringsstrategi

Ransomware-stammen Payouts King demonstrerer sterk teknisk raffinement. Den bruker omfattende obfuskasjons- og antianalyseteknikker for å unngå deteksjon, samtidig som den opprettholder utholdenhet gjennom planlagte oppgaver og deaktiverer sikkerhetsverktøy via lavnivåsystemkall.

Krypteringsmekanismen kombinerer AES-256 i CTR-modus med RSA-4096, og bruker periodisk kryptering for større filer for å optimalisere hastighet og effekt. Ofre blir dirigert til nettsteder med lekkasjer på det mørke nettet gjennom løsepengebrev, noe som øker presset gjennom trusselen om dataeksponering.

Bevis tyder på at denne ransomware-operasjonen kan være knyttet til tidligere tilknyttede selskaper av Black Basta-gruppen, basert på overlappende taktikker som spambombing, phishing via Microsoft Teams og misbruk av verktøy for ekstern tilgang.

Viktige kompromissindikatorer å overvåke

For å forsvare seg mot denne utviklende trusselen, bør organisasjoner overvåke følgende varseltegn:

  • Uautoriserte installasjoner eller utførelse av QEMU
  • Mistenkelige planlagte oppgaver kjører med forhøyede SYSTEM-rettigheter
  • Uvanlig SSH-portvideresendingsaktivitet
  • Utgående SSH-tunneler som bruker ikke-standard porter

Tidlig oppdagelse av disse indikatorene kan redusere risikoen for langvarig kompromittering og datatap betydelig.

Trender

Mest sett

Laster inn...