Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Payouts King Ransomware

Payouts King Ransomware

Până în Mezo în Ransomware
Tradu in:

Operațiunea ransomware Payouts King a introdus o tehnică extrem de evazivă prin utilizarea QEMU ca backdoor SSH invers. Această abordare permite atacatorilor să implementeze mașini virtuale (VM) ascunse direct pe sistemele compromise, ocolind efectiv controalele tradiționale de securitate la nivel de endpoint.

QEMU, un emulator de procesoare și o platformă de virtualizare open-source, permite sistemelor de operare să ruleze ca mașini virtuale pe un dispozitiv gazdă. Deoarece majoritatea soluțiilor de securitate nu pot inspecta activitatea din interiorul acestor mașini virtuale, atacatorii exploatează acest punct mort pentru a executa sarcini utile malițioase, a stoca date dăunătoare și a stabili tuneluri de acces la distanță ascunse prin conexiuni SSH.

Această tactică nu este complet nouă. Abuzuri similare ale QEMU au fost observate în operațiuni legate de grupuri precum grupul de ransomware 3AM, LoudMiner și campania de phishing CRON#TRAP.

În cadrul campaniei STAC4713

Cercetătorii în domeniul securității au identificat două campanii majore care implică implementarea QEMU, una dintre ele fiind urmărită ca STAC4713, observată pentru prima dată în noiembrie 2025. Această campanie a fost direct legată de operațiunea ransomware Payouts King și atribuită grupului GOLD ENCOUNTER.

GOLD ENCOUNTER este cunoscut pentru direcționarea hipervizorilor și implementarea de criptor în mediile VMware și ESXi. În cadrul acestei campanii, atacatorii stabilesc persistența și ascunderea prin crearea unei sarcini programate numite TPMProfiler, care lansează o mașină virtuală QEMU ascunsă cu privilegii la nivel de SYSTEM.

Pentru a evita detectarea, fișierele de disc virtuale rău intenționate sunt deghizate în fișiere de baze de date și DLL legitime. În plus, redirecționarea porturilor este configurată pentru a permite accesul ascuns la sistemul infectat prin tuneluri SSH inverse. Mașina virtuală implementată rulează Alpine Linux 3.22.0 și include un set de instrumente cu utilitare pentru atacatori, cum ar fi AdaptixC2, Chisel, BusyBox și Rclone.

Acces inițial și căi de exploatare

Atacatorii au demonstrat flexibilitate în obținerea accesului inițial, utilizând mai multe puncte de intrare în funcție de mediul țintă. Incidentele timpurii au implicat sisteme VPN SonicWall expuse, în timp ce atacurile mai recente au exploatat eroarea CVE-2025-26399.

Printre metodele suplimentare de intruziune observate în campaniile ulterioare se numără:

  • Compromiterea serviciilor VPN Cisco SSL expuse
  • Inginerie socială prin intermediul Microsoft Teams, unde atacatorii se dau drept personal IT
  • Livrarea de sarcini utile rău intenționate prin intermediul Quick Assist

Aceste abordări variate evidențiază o combinație de exploatare tehnică și înșelăciune cu țintă umană.

Operațiuni post-compromis și furt de date

Odată ajunși în interiorul unei rețele, atacatorii folosesc tehnici avansate de post-exploatare pentru a extrage date sensibile și a-și extinde aria de influență. Procesul implică de obicei crearea de copii umbre folosind VSS (vssuirun.exe), urmate de utilizarea protocoalelor SMB pentru a copia fișiere de sistem critice, cum ar fi NTDS.dit, SAM și secțiunile de registry SYSTEM, în directoare temporare.

În etapele ulterioare, fișierele binare legitime precum ADNotificationManager.exe sunt utilizate în mod abuziv pentru a încărca lateral sarcini utile malițioase, în special o componentă Havoc C2 (vcruntime140_1.dll). Exfiltrarea datelor este apoi efectuată folosind Rclone, transferând informațiile furate către servere SFTP la distanță.

Capacități ransomware și strategie de criptare

Varianta ransomware Payouts King demonstrează o sofisticare tehnică puternică. Aceasta încorporează tehnici extinse de ofuscare și anti-analiză pentru a evita detectarea, menținând în același timp persistența prin sarcini programate și dezactivând instrumentele de securitate prin apeluri de sistem de nivel scăzut.

Mecanismul său de criptare combină AES-256 în modul CTR cu RSA-4096, aplicând criptare intermitentă pentru fișierele mai mari pentru a optimiza viteza și impactul. Victimele sunt direcționate către site-uri de scurgeri de informații despre dark web prin intermediul unor note de recompensă, crescând presiunea prin amenințarea expunerii datelor.

Dovezile sugerează că această operațiune ransomware ar putea fi legată de foști afiliați ai grupului Black Basta, bazată pe tactici care se suprapun, cum ar fi bombardarea cu spam, phishing-ul prin Microsoft Teams și abuzul de instrumente de acces la distanță.

Indicatori cheie de compromis de urmărit

Pentru a se apăra împotriva acestei amenințări în continuă evoluție, organizațiile ar trebui să monitorizeze următoarele semne de avertizare:

  • Instalări sau execuții neautorizate de QEMU
  • Sarcini programate suspecte care rulează cu privilegii SYSTEM ridicate
  • Activitate neobișnuită de redirecționare a porturilor SSH
  • Tuneluri SSH de ieșire care utilizează porturi non-standard

Depistarea timpurie a acestor indicatori poate reduce semnificativ riscul de compromitere prelungită și pierdere de date.

Trending

Cele mai văzute

Se încarcă...