Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Výplaty King Ransomware

Výplaty King Ransomware

Do roku Mezo v roku Ransomware
Preložiť do:

Ransomvérová operácia Payouts King zaviedla vysoko únikovú techniku využitím QEMU ako reverzných SSH zadných vrátok. Tento prístup umožňuje útočníkom nasadiť skryté virtuálne počítače (VM) priamo na napadnuté systémy, čím efektívne obchádzajú tradičné bezpečnostné kontroly koncových bodov.

QEMU, emulátor a virtualizačná platforma s otvoreným zdrojovým kódom pre procesory, umožňuje operačným systémom bežať ako virtuálne počítače na hostiteľskom zariadení. Keďže väčšina bezpečnostných riešení nedokáže kontrolovať aktivitu vo vnútri týchto virtuálnych počítačov, útočníci zneužívajú toto slepé miesto na spúšťanie škodlivých dát, ukladanie škodlivých údajov a vytváranie skrytých tunelov pre vzdialený prístup prostredníctvom SSH pripojení.

Táto taktika nie je úplne nová. Podobné zneužívanie QEMU bolo pozorované v operáciách spojených so skupinami, ako je skupina ransomvéru 3AM, LoudMiner a phishingová kampaň CRON#TRAP.

V kampani STAC4713

Bezpečnostní výskumníci identifikovali dve hlavné kampane zahŕňajúce nasadenie QEMU, pričom jedna bola sledovaná ako STAC4713 a prvýkrát bola pozorovaná v novembri 2025. Táto kampaň bola priamo spojená s operáciou ransomvéru Payouts King a pripisovaná skupine GOLD ENCOUNTER.

GOLD ENCOUNTER je známy tým, že sa zameriava na hypervízory a nasadzuje šifrovacie programy v prostrediach VMware a ESXi. V rámci tejto kampane útočníci zabezpečujú perzistenciu a nenápadnosť vytvorením naplánovanej úlohy s názvom TPMProfiler, ktorá spúšťa skrytý virtuálny stroj QEMU s oprávneniami na úrovni SYSTEM.

Aby sa predišlo odhaleniu, škodlivé súbory virtuálnych diskov sú maskované ako legitímne databázové a DLL súbory. Okrem toho je nakonfigurované presmerovanie portov, ktoré umožňuje skrytý prístup k infikovanému systému prostredníctvom reverzných SSH tunelov. Nasadený virtuálny počítač beží na systéme Alpine Linux 3.22.0 a obsahuje sadu nástrojov pre útočníkov, ako napríklad AdaptixC2, Chisel, BusyBox a Rclone.

Počiatočné prístupové a využívacie cesty

Útočníci preukázali flexibilitu pri získavaní počiatočného prístupu pomocou viacerých vstupných bodov v závislosti od cieľového prostredia. Skoršie incidenty zahŕňali odhalené VPN systémy SonicWall, zatiaľ čo novšie útoky zneužívali chybu CVE-2025-26399.

Medzi ďalšie metódy narušenia pozorované v nasledujúcich kampaniach patria:

  • Kompromitácia odhalených služieb Cisco SSL VPN
  • Sociálne inžinierstvo prostredníctvom Microsoft Teams, kde útočníci napodobňujú IT pracovníkov
  • Doručovanie škodlivých dát prostredníctvom Quick Assist

Tieto rôzne prístupy zdôrazňujú kombináciu technického zneužívania a klamstva zameraného na človeka.

Operácie po kompromitácii a krádež údajov

Po vniknutí do siete útočníci používajú pokročilé techniky po zneužití na extrakciu citlivých údajov a eskaláciu svojho postavenia. Proces zvyčajne zahŕňa vytváranie tieňových kópií pomocou VSS (vssuirun.exe) a následné využitie protokolov SMB na kopírovanie kritických systémových súborov, ako sú NTDS.dit, SAM a podregistre SYSTEM, do dočasných adresárov.

V neskorších fázach sa legitímne binárne súbory, ako napríklad ADNotificationManager.exe, zneužívajú na bočné načítanie škodlivých dát, konkrétne komponentu Havoc C2 (vcruntime140_1.dll). K úniku dát sa potom dochádza pomocou nástroja Rclone, ktorý prenáša ukradnuté informácie na vzdialené SFTP servery.

Možnosti ransomvéru a stratégia šifrovania

Kmeň ransomvéru Payouts King vykazuje vysokú technickú sofistikovanosť. Obsahuje rozsiahle techniky zahmlievania a antianalýzy, aby sa vyhol odhaleniu, a zároveň zachováva perzistenciu prostredníctvom naplánovaných úloh a deaktivuje bezpečnostné nástroje prostredníctvom nízkoúrovňových systémových volaní.

Jeho šifrovací mechanizmus kombinuje AES-256 v režime CTR s RSA-4096, pričom pre väčšie súbory používa prerušované šifrovanie s cieľom optimalizovať rýchlosť a dopad. Obete sú prostredníctvom výkupného smerované na stránky s únikmi dát na dark webe, čo zvyšuje tlak v dôsledku hrozby úniku údajov.

Dôkazy naznačujú, že táto operácia s ransomvérom môže byť spojená s bývalými členmi skupiny Black Basta, a to na základe prekrývajúcich sa taktík, ako je spamové bombardovanie, phishing prostredníctvom služby Microsoft Teams a zneužívanie nástrojov na vzdialený prístup.

Kľúčové indikátory kompromisu, ktoré treba sledovať

Aby sa organizácie mohli brániť tejto vyvíjajúcej sa hrozbe, mali by sledovať nasledujúce varovné signály:

  • Neoprávnené inštalácie alebo spustenie QEMU
  • Podozrivé naplánované úlohy spustené so zvýšenými systémovými oprávneniami
  • Nezvyčajná aktivita presmerovania portov SSH
  • Odchádzajúce SSH tunely používajúce neštandardné porty

Včasné odhalenie týchto indikátorov môže výrazne znížiť riziko dlhodobého ohrozenia a straty údajov.

Trendy

Podvod s e-mailom v oblasti zabezpečenia webových...

Phishing, Spam
V dnešnom svete hrozieb zostáva e-mail jedným z najčastejších vstupných bodov pre kybernetické útoky. Používatelia musia byť ostražití pri riešení neočakávaných správ, najmä tých, ktoré naliehajú na okamžitú akciu. Mnohé z týchto e-mailov sú starostlivo vytvorené podvody a je dôležité pochopiť, že nie sú spojené so žiadnymi legitímnymi spoločnosťami, organizáciami ani subjektmi, bez ohľadu na...

Najviac videné

Načítava...