Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware Payouts King Ransomware

Payouts King Ransomware

Nga MezoRansomware
Përkthe në:

Operacioni ransomware Payouts King ka prezantuar një teknikë shumë të fshehtë duke përdorur QEMU-në si një derë të pasme SSH të kundërt. Kjo qasje u lejon sulmuesve të vendosin makina virtuale të fshehura (VM) direkt në sisteme të kompromentuara, duke anashkaluar në mënyrë efektive kontrollet tradicionale të sigurisë së pikave fundore.

QEMU, një platformë emulatori CPU dhe virtualizimi me burim të hapur, u mundëson sistemeve operative të funksionojnë si makina virtuale në një pajisje pritëse. Meqenëse shumica e zgjidhjeve të sigurisë nuk mund të inspektojnë aktivitetin brenda këtyre VM-ve, sulmuesit e shfrytëzojnë këtë pikë të verbër për të ekzekutuar ngarkesa të dëmshme, për të ruajtur të dhëna të dëmshme dhe për të krijuar tunele të fshehta me qasje në distancë nëpërmjet lidhjeve SSH.

Kjo taktikë nuk është krejtësisht e re. Abuzim i ngjashëm i QEMU është vërejtur në operacione të lidhura me grupe të tilla si grupi ransomware 3AM, LoudMiner dhe fushata e phishing CRON#TRAP.

Brenda Fushatës STAC4713

Studiuesit e sigurisë kanë identifikuar dy fushata kryesore që përfshijnë vendosjen e QEMU-së, njëra prej të cilave është gjurmuar si STAC4713, e vërejtur për herë të parë në nëntor 2025. Kjo fushatë është lidhur drejtpërdrejt me operacionin ransomware Payouts King dhe i atribuohet grupit GOLD ENCOUNTER.

GOLD ENCOUNTER njihet për shënjestrimin e hipervizorëve dhe vendosjen e enkriptuesve në mjediset VMware dhe ESXi. Brenda kësaj fushate, sulmuesit krijojnë qëndrueshmëri dhe fshehtësi duke krijuar një detyrë të planifikuar të quajtur TPMProfiler, e cila nis një makinë virtuale të fshehur QEMU me privilegje të nivelit SYSTEM.

Për të shmangur zbulimin, skedarët e diskut virtual keqdashës maskohen si skedarë legjitimë të bazës së të dhënave dhe skedarë DLL. Përveç kësaj, përçimi i portave është konfiguruar për të mundësuar akses të fshehtë në sistemin e infektuar përmes tuneleve të kundërta SSH. VM-ja e vendosur ekzekuton Alpine Linux 3.22.0 dhe përfshin një set mjetesh me programe sulmuese si AdaptixC2, Chisel, BusyBox dhe Rclone.

Rrugët Fillestare të Qasjes dhe Shfrytëzimit

Sulmuesit kanë demonstruar fleksibilitet në fitimin e aksesit fillestar, duke përdorur pika të shumëfishta hyrjeje në varësi të mjedisit të synuar. Incidentet e hershme përfshinin sisteme VPN të ekspozuara SonicWall, ndërsa sulmet më të fundit shfrytëzuan të metën CVE-2025-26399.

Metoda të tjera ndërhyrjeje të vërejtura në fushatat pasuese përfshijnë:

  • Kompromentim i shërbimeve të ekspozuara Cisco SSL VPN
  • Inxhinieri sociale nëpërmjet Microsoft Teams, ku sulmuesit imitojnë personelin e IT-së
  • Dorëzimi i ngarkesave të dëmshme përmes Ndihmës së Shpejtë

Këto qasje të larmishme nxjerrin në pah një përzierje të shfrytëzimit teknik dhe mashtrimit të drejtuar nga njeriu.

Operacionet pas kompromentimit dhe vjedhja e të dhënave

Pasi hyjnë brenda një rrjeti, sulmuesit përdorin teknika të avancuara pas-shfrytëzimit për të nxjerrë të dhëna të ndjeshme dhe për të përshkallëzuar ndikimin e tyre. Procesi zakonisht përfshin krijimin e kopjeve në hije duke përdorur VSS (vssuirun.exe), e ndjekur nga shfrytëzimi i protokolleve SMB për të kopjuar skedarë kritikë të sistemit si NTDS.dit, SAM dhe regjistrat SYSTEM në drejtori të përkohshme.

Në fazat e mëvonshme, skedarët binare legjitimë si ADNotificationManager.exe keqpërdoren për të ngarkuar ngarkesa të dëmshme në mënyrë anësore, konkretisht një komponent Havoc C2 (vcruntime140_1.dll). Ekfiltrimi i të dhënave kryhet më pas duke përdorur Rclone, duke transferuar informacionin e vjedhur në serverët e largët SFTP.

Aftësitë e Ransomware dhe Strategjia e Enkriptimit

Lloji i ransomware-it Payouts King demonstron një sofistikim të fortë teknik. Ai përfshin teknika të gjera të bllokimit dhe anti-analizës për të shmangur zbulimin, duke ruajtur qëndrueshmërinë përmes detyrave të planifikuara dhe duke çaktivizuar mjetet e sigurisë përmes thirrjeve të sistemit të nivelit të ulët.

Mekanizmi i tij i enkriptimit kombinon AES-256 në modalitetin CTR me RSA-4096, duke aplikuar enkriptim me ndërprerje për skedarë më të mëdhenj për të optimizuar shpejtësinë dhe ndikimin. Viktimat drejtohen në faqet e rrjedhjes së të dhënave në internet të errët përmes shënimeve për shpërblime, duke rritur presionin përmes kërcënimit të ekspozimit të të dhënave.

Provat sugjerojnë se ky operacion ransomware mund të jetë i lidhur me ish-bashkëpunëtorë të grupit Black Basta, bazuar në taktika të mbivendosura si bombardimi i spamit, phishing nëpërmjet Microsoft Teams dhe abuzimi me mjetet e aksesit në distancë.

Treguesit kryesorë të kompromisit që duhen vëzhguar

Për t'u mbrojtur nga ky kërcënim në zhvillim e sipër, organizatat duhet të monitorojnë shenjat paralajmëruese të mëposhtme:

  • Instalime ose ekzekutime të paautorizuara të QEMU-së
  • Detyra të planifikuara të dyshimta që ekzekutohen me privilegje të larta SYSTEM
  • Aktivitet i pazakontë i përcjelljes së portave SSH
  • Tunelet SSH dalëse duke përdorur porta jo standarde

Zbulimi i hershëm i këtyre treguesve mund të zvogëlojë ndjeshëm rrezikun e kompromentimit të zgjatur dhe humbjes së të dhënave.

Në trend

Mashtrimi me email për sigurinë e aplikacionit në...

Fishing, Spam
Në peizazhin e kërcënimeve të sotme, emaili mbetet një nga pikat më të zakonshme të hyrjes për sulmet kibernetike. Përdoruesit duhet të qëndrojnë vigjilentë kur merren me mesazhe të papritura, veçanërisht ato që kërkojnë veprim të menjëhershëm. Shumë nga këto emaile janë mashtrime të hartuara me kujdes dhe është e rëndësishme të kuptohet se ato nuk janë të lidhura me asnjë kompani, organizatë...

Më e shikuara

Po ngarkohet...