Popust za več licenc
Podjetje o grožnjah Ransomware Izplačila King Ransomware

Izplačila King Ransomware

Do leta Mezo leta Ransomware
Prevedi v:

Izsiljevalska programska oprema Payouts King je uvedla zelo izmikajočo tehniko z uporabo QEMU kot obratnega SSH zadnja vrata. Ta pristop napadalcem omogoča, da namestijo skrite virtualne stroje (VM) neposredno na ogrožene sisteme in tako učinkovito zaobidejo tradicionalne varnostne kontrole končnih točk.

QEMU, emulator in platforma za virtualizacijo procesorjev z odprto kodo, omogoča operacijskim sistemom, da delujejo kot virtualni stroji na gostiteljski napravi. Ker večina varnostnih rešitev ne more pregledati dejavnosti znotraj teh virtualnih strojev, napadalci izkoriščajo to slepo pego za izvajanje zlonamernih koristnih tovorov, shranjevanje škodljivih podatkov in vzpostavljanje prikritih tunelov za oddaljeni dostop prek povezav SSH.

Ta taktika ni povsem nova. Podobna zloraba QEMU je bila opažena pri operacijah, povezanih s skupinami, kot so skupina za izsiljevalsko programsko opremo 3AM, LoudMiner in phishing kampanja CRON#TRAP.

V kampanji STAC4713

Varnostni raziskovalci so odkrili dve večji kampanji, ki vključujeta uvedbo QEMU, pri čemer je bila ena od njih sledena kot STAC4713 in je bila prvič opažena novembra 2025. Ta kampanja je bila neposredno povezana z operacijo izsiljevalske programske opreme Payouts King in pripisana skupini GOLD ENCOUNTER.

GOLD ENCOUNTER je znan po tem, da cilja na hipervizorje in namešča šifrirnike v okoljih VMware in ESXi. V tej kampanji napadalci vzpostavijo vztrajnost in prikritost z ustvarjanjem načrtovane naloge z imenom TPMProfiler, ki zažene skriti virtualni stroj QEMU s privilegiji na ravni SYSTEM.

Da bi se izognili odkrivanju, so zlonamerne datoteke navideznega diska prikrite kot legitimne datoteke baz podatkov in datoteke DLL. Poleg tega je konfigurirano posredovanje vrat, ki omogoča prikrit dostop do okuženega sistema prek obratnih tunelov SSH. Nameščeni navidezni stroj teče z operacijskim sistemom Alpine Linux 3.22.0 in vključuje nabor orodij za napadalce, kot so AdaptixC2, Chisel, BusyBox in Rclone.

Začetni dostop in poti izkoriščanja

Napadalci so pokazali prilagodljivost pri pridobivanju začetnega dostopa z uporabo več vstopnih točk, odvisno od ciljnega okolja. Zgodnji incidenti so vključevali izpostavljene VPN sisteme SonicWall, medtem ko so novejši napadi izkoristili napako CVE-2025-26399.

Dodatne metode vdora, opažene v nadaljnjih kampanjah, vključujejo:

  • Kompromis izpostavljenih storitev Cisco SSL VPN
  • Socialni inženiring prek Microsoft Teams, kjer napadalci poosebljajo IT-osebje
  • Dostava zlonamernih koristnih tovorov prek Quick Assist

Ti raznoliki pristopi poudarjajo mešanico tehničnega izkoriščanja in prevare, usmerjene v človeka.

Operacije po vdoru in kraji podatkov

Ko so napadalci enkrat v omrežju, uporabijo napredne tehnike po izkoriščanju, da bi pridobili občutljive podatke in stopnjevali svojo prisotnost. Postopek običajno vključuje ustvarjanje senčnih kopij z uporabo VSS (vssuirun.exe), ki mu sledi izkoriščanje protokolov SMB za kopiranje kritičnih sistemskih datotek, kot so NTDS.dit, SAM in SYSTEM registrski panji, v začasne imenike.

V kasnejših fazah se legitimne binarne datoteke, kot je ADNotificationManager.exe, zlorabljajo za nalaganje zlonamernih koristnih vsebin, zlasti komponente Havoc C2 (vcruntime140_1.dll). Izločitev podatkov se nato izvede z uporabo Rclone, ki ukradene informacije prenese na oddaljene strežnike SFTP.

Zmogljivosti izsiljevalske programske opreme in strategija šifriranja

Izsiljevalska programska oprema Payouts King kaže visoko tehnično dovršenost. Vključuje obsežne tehnike zakrivanja in antianalize, da se izogne odkrivanju, hkrati pa ohranja vztrajnost prek načrtovanih opravil in onemogoča varnostna orodja prek nizkonivojskih sistemskih klicev.

Njegov mehanizem šifriranja združuje AES-256 v načinu CTR z RSA-4096, pri čemer za večje datoteke uporablja občasno šifriranje za optimizacijo hitrosti in učinka. Žrtve so prek sporočil z zahtevo za odkupnino usmerjene na spletna mesta na temnem spletu, kar povečuje pritisk zaradi grožnje razkritja podatkov.

Dokazi kažejo, da je ta operacija izsiljevalske programske opreme morda povezana z nekdanjimi člani skupine Black Basta, na podlagi prekrivajočih se taktik, kot so bombardiranje z neželeno pošto, lažno predstavljanje prek Microsoft Teams in zloraba orodij za oddaljeni dostop.

Ključni kazalniki kompromisa, ki jih je treba spremljati

Za obrambo pred to razvijajočo se grožnjo bi morale organizacije spremljati naslednje opozorilne znake:

  • Nepooblaščene namestitve ali izvajanje QEMU
  • Sumljive načrtovane naloge, ki se izvajajo s povišanimi sistemskimi pravicami
  • Nenavadna dejavnost posredovanja vrat SSH
  • Odhodni SSH tuneli z uporabo nestandardnih vrat

Zgodnje odkrivanje teh kazalnikov lahko znatno zmanjša tveganje za dolgotrajno ogrožanje in izgubo podatkov.

V trendu

Prevara z e-pošto za varnost spletnih aplikacij

Lažno predstavljanje, Neželena pošta
V današnjem okolju groženj ostaja elektronska pošta ena najpogostejših vstopnih točk za kibernetske napade. Uporabniki morajo biti pozorni pri soočanju z nepričakovanimi sporočili, zlasti tistimi, ki pozivajo k takojšnjemu ukrepanju. Mnoga od teh e-poštnih sporočil so skrbno oblikovane prevare in pomembno je razumeti, da niso povezana z nobenim legitimnim podjetjem, organizacijo ali subjektom,...

Najbolj gledan

Nalaganje...