Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Uitbetalingen King Ransomware

Uitbetalingen King Ransomware

Tegen Mezo in Ransomware
Vertalen naar:

De ransomware-aanval Payouts King heeft een zeer slinkse techniek geïntroduceerd door QEMU te gebruiken als een omgekeerde SSH-achterdeur. Deze aanpak stelt aanvallers in staat om verborgen virtuele machines (VM's) rechtstreeks op geïnfecteerde systemen te installeren, waardoor traditionele beveiligingsmaatregelen effectief worden omzeild.

QEMU, een open-source CPU-emulator en virtualisatieplatform, maakt het mogelijk om besturingssystemen als virtuele machines op een hostapparaat te draaien. Omdat de meeste beveiligingsoplossingen de activiteiten binnen deze VM's niet kunnen inspecteren, maken aanvallers misbruik van deze blinde vlek om kwaadaardige payloads uit te voeren, schadelijke gegevens op te slaan en heimelijke toegangstunnels op afstand via SSH-verbindingen tot stand te brengen.

Deze tactiek is niet helemaal nieuw. Soortgelijk misbruik van QEMU is waargenomen bij operaties die gelinkt zijn aan groepen zoals de 3AM ransomwaregroep, LoudMiner en de CRON#TRAP phishingcampagne.

Een kijkje in de STAC4713-campagne

Beveiligingsonderzoekers hebben twee grote campagnes geïdentificeerd waarbij QEMU wordt ingezet. Een daarvan, aangeduid als STAC4713, werd voor het eerst waargenomen in november 2025. Deze campagne is direct gekoppeld aan de Payouts King ransomware-aanval en wordt toegeschreven aan de GOLD ENCOUNTER-groep.

GOLD ENCOUNTER staat bekend om het aanvallen van hypervisors en het implementeren van encryptors in VMware- en ESXi-omgevingen. Binnen deze campagne creëren aanvallers persistentie en onzichtbaarheid door een geplande taak genaamd TPMProfiler aan te maken, die een verborgen QEMU virtuele machine met systeemrechten start.

Om detectie te voorkomen, worden kwaadaardige virtuele schijfbestanden vermomd als legitieme database- en DLL-bestanden. Daarnaast is port forwarding geconfigureerd om heimelijke toegang tot het geïnfecteerde systeem mogelijk te maken via reverse SSH-tunnels. De ingezette VM draait Alpine Linux 3.22.0 en bevat een toolkit met hulpprogramma's voor aanvallers, zoals AdaptixC2, Chisel, BusyBox en Rclone.

Initiële toegangs- en exploitatiemogelijkheden

Aanvallers hebben blijk gegeven van flexibiliteit bij het verkrijgen van initiële toegang, door afhankelijk van de doelomgeving meerdere toegangspunten te gebruiken. Bij eerdere incidenten waren SonicWall VPN-systemen kwetsbaar, terwijl recentere aanvallen de CVE-2025-26399-kwetsbaarheid misbruikten.

Bij latere campagnes zijn aanvullende inbraakmethoden waargenomen, waaronder:

  • Compromittering van blootgestelde Cisco SSL VPN-services
  • Social engineering via Microsoft Teams, waarbij aanvallers zich voordoen als IT-personeel.
  • Het verspreiden van schadelijke software via Quick Assist.

Deze uiteenlopende benaderingen laten een combinatie zien van technische uitbuiting en op mensen gerichte misleiding.

Operaties na een inbreuk en datadiefstal

Eenmaal binnen een netwerk gebruiken aanvallers geavanceerde post-exploitatietechnieken om gevoelige gegevens te bemachtigen en hun positie te versterken. Dit proces omvat doorgaans het maken van schaduwkopieën met behulp van VSS (vssuirun.exe), gevolgd door het gebruik van SMB-protocollen om kritieke systeembestanden zoals NTDS.dit, SAM en SYSTEM-registerbestanden naar tijdelijke mappen te kopiëren.

In latere stadia worden legitieme binaire bestanden zoals ADNotificationManager.exe misbruikt om kwaadaardige payloads te sideloaden, met name een Havoc C2-component (vcruntime140_1.dll). Vervolgens wordt data-exfiltratie uitgevoerd met behulp van Rclone, waarbij de gestolen informatie naar externe SFTP-servers wordt overgebracht.

Mogelijkheden van ransomware en encryptiestrategie

De Payouts King ransomware-variant getuigt van grote technische geavanceerdheid. Het maakt gebruik van uitgebreide obfuscatie- en anti-analysetechnieken om detectie te omzeilen, terwijl het persistentie behoudt door middel van geplande taken en het uitschakelen van beveiligingssystemen via systeemoproepen op laag niveau.

Het encryptiemechanisme combineert AES-256 in CTR-modus met RSA-4096, waarbij intermitterende encryptie wordt toegepast voor grotere bestanden om de snelheid en impact te optimaliseren. Slachtoffers worden via losgeldberichten naar lekkenwebsites op het dark web geleid, waardoor de druk toeneemt door de dreiging van datalekken.

Er zijn aanwijzingen dat deze ransomware-aanval mogelijk verband houdt met voormalige leden van de Black Basta-groep, gezien de overeenkomende tactieken zoals spam-aanvallen, phishing via Microsoft Teams en misbruik van tools voor toegang op afstand.

Belangrijke indicatoren van compromis om in de gaten te houden

Om zich te beschermen tegen deze steeds veranderende dreiging, moeten organisaties de volgende waarschuwingssignalen in de gaten houden:

  • Ongeautoriseerde installatie of uitvoering van QEMU
  • Verdachte geplande taken die met verhoogde systeemrechten worden uitgevoerd.
  • Ongebruikelijke SSH-poortdoorstuuractiviteit
  • Uitgaande SSH-tunnels via niet-standaard poorten

Vroegtijdige detectie van deze indicatoren kan het risico op langdurige inbreuken en gegevensverlies aanzienlijk verkleinen.

Trending

Meest bekeken

Bezig met laden...