Payouts King Ransomware

Operacja ransomware Payouts King wprowadziła wysoce unikalną technikę, wykorzystując QEMU jako odwrotną furtkę SSH. To podejście pozwala atakującym wdrażać ukryte maszyny wirtualne (VM) bezpośrednio w zainfekowanych systemach, skutecznie omijając tradycyjne zabezpieczenia punktów końcowych.

QEMU, emulator procesora i platforma wirtualizacji typu open source, umożliwia systemom operacyjnym uruchamianie się jako maszyn wirtualnych na urządzeniu hosta. Ponieważ większość rozwiązań bezpieczeństwa nie jest w stanie monitorować aktywności wewnątrz tych maszyn wirtualnych, atakujący wykorzystują ten słaby punkt do uruchamiania złośliwych pakietów, przechowywania szkodliwych danych i tworzenia ukrytych tuneli dostępu zdalnego za pośrednictwem połączeń SSH.

Ta taktyka nie jest zupełnie nowa. Podobne nadużycia QEMU zaobserwowano w operacjach powiązanych z grupami takimi jak grupa ransomware 3AM, LoudMiner i kampania phishingowa CRON#TRAP.

Wewnątrz kampanii STAC4713

Badacze ds. bezpieczeństwa zidentyfikowali dwie główne kampanie obejmujące wdrożenie QEMU, z których jedna została oznaczona jako STAC4713 i po raz pierwszy zaobserwowana w listopadzie 2025 r. Kampania ta została bezpośrednio powiązana z operacją ransomware Payouts King i przypisana grupie GOLD ENCOUNTER.

GOLD ENCOUNTER znany jest z atakowania hiperwizorów i wdrażania szyfratorów w środowiskach VMware i ESXi. W ramach tej kampanii atakujący zapewniają trwałość i ukrycie, tworząc zaplanowane zadanie o nazwie TPMProfiler, które uruchamia ukrytą maszynę wirtualną QEMU z uprawnieniami na poziomie SYSTEM.

Aby uniknąć wykrycia, złośliwe pliki dysków wirtualnych są maskowane pod postacią legalnych plików baz danych i bibliotek DLL. Dodatkowo, skonfigurowano przekierowanie portów, aby umożliwić ukryty dostęp do zainfekowanego systemu poprzez odwrotne tunele SSH. Wdrożona maszyna wirtualna działa pod kontrolą systemu Alpine Linux 3.22.0 i zawiera zestaw narzędzi dla atakujących, takich jak AdaptixC2, Chisel, BusyBox i Rclone.

Początkowe ścieżki dostępu i eksploatacji

Atakujący wykazali się elastycznością w uzyskiwaniu początkowego dostępu, wykorzystując wiele punktów wejścia w zależności od środowiska docelowego. Wczesne incydenty dotyczyły ujawnienia systemów VPN SonicWall, podczas gdy nowsze ataki wykorzystywały lukę CVE-2025-26399.

Dodatkowe metody włamań zaobserwowane w kolejnych kampaniach obejmują:

• Naruszenie bezpieczeństwa usług Cisco SSL VPN
• Inżynieria społeczna za pośrednictwem Microsoft Teams, gdzie atakujący podszywają się pod pracowników IT
• Dostarczanie złośliwych ładunków za pośrednictwem funkcji Quick Assist

Te zróżnicowane podejścia stanowią mieszankę eksploatacji technicznej i oszustwa mającego na celu osiągnięcie zysku przez człowieka.

Operacje po włamaniu i kradzież danych

Po włamaniu do sieci atakujący stosują zaawansowane techniki post-exploitacyjne, aby wydobyć poufne dane i rozszerzyć zasięg. Proces ten zazwyczaj obejmuje tworzenie kopii w tle za pomocą VSS (vssuirun.exe), a następnie wykorzystanie protokołów SMB do kopiowania krytycznych plików systemowych, takich jak NTDS.dit, SAM i pliki rejestru SYSTEM, do katalogów tymczasowych.

Na późniejszych etapach legalne pliki binarne, takie jak ADNotificationManager.exe, są wykorzystywane do bocznego ładowania szkodliwych ładunków, w szczególności komponentu Havoc C2 (vcruntime140_1.dll). Następnie przeprowadzana jest eksfiltracja danych za pomocą Rclone, która przesyła skradzione informacje na zdalne serwery SFTP.

Możliwości oprogramowania ransomware i strategia szyfrowania

Odmiana ransomware Payouts King charakteryzuje się wysokim poziomem zaawansowania technicznego. Wykorzystuje rozbudowane techniki zaciemniania i antyanalizy, aby uniknąć wykrycia, jednocześnie zachowując trwałość poprzez zaplanowane zadania i wyłączanie narzędzi bezpieczeństwa za pomocą niskopoziomowych wywołań systemowych.

Mechanizm szyfrowania łączy AES-256 w trybie CTR z RSA-4096, stosując przerywane szyfrowanie w przypadku większych plików w celu optymalizacji szybkości i skuteczności. Ofiary są kierowane na strony wycieków w darknecie za pośrednictwem żądań okupu, co zwiększa presję poprzez groźbę ujawnienia danych.

Dowody wskazują, że operacja ransomware może być powiązana z byłymi członkami grupy Black Basta i opierać się na pokrywających się taktykach, takich jak rozsyłanie spamu, phishing za pośrednictwem Microsoft Teams i nadużywanie narzędzi do zdalnego dostępu.

Kluczowe wskaźniki zagrożenia, na które należy zwrócić uwagę

Aby bronić się przed tym rozwijającym się zagrożeniem, organizacje powinny monitorować następujące sygnały ostrzegawcze:

• Nieautoryzowane instalacje lub wykonywanie QEMU
• Podejrzane zaplanowane zadania uruchamiane z podwyższonymi uprawnieniami SYSTEMOWYMI
• Nietypowa aktywność przekierowania portów SSH
• Tunele SSH wychodzące wykorzystujące niestandardowe porty

Wczesne wykrycie tych wskaźników może znacząco ograniczyć ryzyko długotrwałego naruszenia bezpieczeństwa i utraty danych.