Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Ransomware Payouts King

Ransomware Payouts King

Por Mezo em Ransomware
Traduzir Para:

A operação de ransomware Payouts King introduziu uma técnica altamente evasiva, utilizando o QEMU como uma porta dos fundos reversa para SSH. Essa abordagem permite que os atacantes implantem máquinas virtuais (VMs) ocultas diretamente em sistemas comprometidos, contornando efetivamente os controles tradicionais de segurança de endpoints.

O QEMU, um emulador de CPU e plataforma de virtualização de código aberto, permite que sistemas operacionais sejam executados como máquinas virtuais em um dispositivo host. Como a maioria das soluções de segurança não consegue inspecionar a atividade dentro dessas máquinas virtuais, os invasores exploram essa vulnerabilidade para executar payloads maliciosos, armazenar dados prejudiciais e estabelecer túneis de acesso remoto secretos por meio de conexões SSH.

Essa tática não é totalmente nova. Abusos semelhantes do QEMU foram observados em operações ligadas a grupos como o grupo de ransomware 3AM, o LoudMiner e a campanha de phishing CRON#TRAP.

Dentro da campanha STAC4713

Pesquisadores de segurança identificaram duas campanhas principais envolvendo a implantação do QEMU, sendo uma delas rastreada como STAC4713, observada pela primeira vez em novembro de 2025. Essa campanha foi diretamente ligada à operação de ransomware Payouts King e atribuída ao grupo GOLD ENCOUNTER.

O grupo GOLD ENCOUNTER é conhecido por atacar hipervisores e implantar criptografadores em ambientes VMware e ESXi. Nessa campanha, os atacantes estabelecem persistência e ocultação criando uma tarefa agendada chamada TPMProfiler, que inicia uma máquina virtual QEMU oculta com privilégios de nível SYSTEM.

Para evitar a detecção, arquivos de disco virtual maliciosos são disfarçados de arquivos legítimos de banco de dados e DLLs. Além disso, o encaminhamento de portas é configurado para permitir o acesso secreto ao sistema infectado por meio de túneis SSH reversos. A máquina virtual implantada executa o Alpine Linux 3.22.0 e inclui um conjunto de ferramentas de ataque, como AdaptixC2, Chisel, BusyBox e Rclone.

Vias iniciais de acesso e exploração

Os atacantes demonstraram flexibilidade na obtenção de acesso inicial, utilizando múltiplos pontos de entrada dependendo do ambiente alvo. Os primeiros incidentes envolveram sistemas VPN SonicWall expostos, enquanto ataques mais recentes exploraram a vulnerabilidade CVE-2025-26399.

Outros métodos de intrusão observados em campanhas subsequentes incluem:

  • Comprometimento dos serviços VPN SSL da Cisco expostos
  • Engenharia social via Microsoft Teams, onde os atacantes se fazem passar por funcionários de TI.
  • Entrega de payloads maliciosos através do Quick Assist

Essas abordagens variadas destacam uma combinação de exploração técnica e engano direcionado a humanos.

Operações pós-comprometimento e roubo de dados

Uma vez dentro de uma rede, os atacantes empregam técnicas avançadas de pós-exploração para extrair dados sensíveis e ampliar seu domínio. O processo normalmente envolve a criação de cópias de sombra usando o VSS (vssuirun.exe), seguida pelo uso de protocolos SMB para copiar arquivos críticos do sistema, como NTDS.dit, SAM e hives do registro SYSTEM, para diretórios temporários.

Em estágios posteriores, binários legítimos como o ADNotificationManager.exe são explorados para instalar payloads maliciosos, especificamente um componente C2 do Havoc (vcruntime140_1.dll). A exfiltração de dados é então realizada usando o Rclone, transferindo as informações roubadas para servidores SFTP remotos.

Capacidades do ransomware e estratégia de criptografia

A variante de ransomware Payouts King demonstra grande sofisticação técnica. Ela incorpora extensas técnicas de ofuscação e anti-análise para evitar a detecção, mantendo a persistência por meio de tarefas agendadas e desativando ferramentas de segurança através de chamadas de sistema de baixo nível.

Seu mecanismo de criptografia combina AES-256 no modo CTR com RSA-4096, aplicando criptografia intermitente para arquivos maiores a fim de otimizar a velocidade e o impacto. As vítimas são direcionadas para sites de vazamento na dark web por meio de notas de resgate, aumentando a pressão através da ameaça de exposição de dados.

As evidências sugerem que esta operação de ransomware pode estar ligada a antigos afiliados do grupo Black Basta, com base em táticas semelhantes, como bombardeio de spam, phishing via Microsoft Teams e abuso de ferramentas de acesso remoto.

Principais indicadores de comprometimento a serem observados

Para se defenderem dessa ameaça em constante evolução, as organizações devem ficar atentas aos seguintes sinais de alerta:

  • Instalações ou execuções não autorizadas do QEMU
  • Tarefas agendadas suspeitas sendo executadas com privilégios elevados de SISTEMA
  • Atividade incomum de encaminhamento de porta SSH
  • Túneis SSH de saída usando portas não padrão

A detecção precoce desses indicadores pode reduzir significativamente o risco de comprometimento prolongado e perda de dados.

Tendendo

Mais visto

Carregando...