Rabattoffert för flera licenser
Hotdatabas Ransomware Utbetalningar King Ransomware

Utbetalningar King Ransomware

Med Mezo år Ransomware
Översätt till:

Ransomware-operationen Payouts King har introducerat en mycket undvikande teknik genom att utnyttja QEMU som en omvänd SSH-bakdörr. Denna metod gör det möjligt för angripare att distribuera dolda virtuella maskiner (VM) direkt på komprometterade system, vilket effektivt kringgår traditionella säkerhetskontroller för slutpunkter.

QEMU, en CPU-emulator och virtualiseringsplattform med öppen källkod, gör det möjligt för operativsystem att köras som virtuella maskiner på en värdenhet. Eftersom de flesta säkerhetslösningar inte kan inspektera aktivitet inuti dessa virtuella maskiner utnyttjar angripare denna blinda fläck för att köra skadliga nyttolaster, lagra skadlig data och etablera hemliga fjärråtkomsttunnlar via SSH-anslutningar.

Denna taktik är inte helt ny. Liknande missbruk av QEMU har observerats i operationer kopplade till grupper som 3AM ransomware-gruppen, LoudMiner och CRON#TRAP phishing-kampanjen.

Inuti STAC4713-kampanjen

Säkerhetsforskare har identifierat två större kampanjer som involverar QEMU-distribution, varav en spårad som STAC4713, som först observerades i november 2025. Denna kampanj har kopplats direkt till Payouts King-ransomware-operationen och tillskrivits GOLD ENCOUNTER-gruppen.

GOLD ENCOUNTER är känt för att rikta in sig på hypervisorer och distribuera krypteringsverktyg i VMware- och ESXi-miljöer. Inom denna kampanj etablerar angripare uthållighet och stealth genom att skapa en schemalagd uppgift med namnet TPMProfiler, som startar en dold virtuell QEMU-maskin med SYSTEM-nivåbehörigheter.

För att undvika upptäckt är skadliga virtuella diskfiler förklädda som legitima databas- och DLL-filer. Dessutom är portvidarebefordran konfigurerad för att möjliggöra hemlig åtkomst till det infekterade systemet via omvända SSH-tunnlar. Den driftsatta virtuella datorn kör Alpine Linux 3.22.0 och innehåller en verktygslåda med angriparverktyg som AdaptixC2, Chisel, BusyBox och Rclone.

Initiala åtkomst- och utnyttjandevägar

Angripare har visat flexibilitet i att få initial åtkomst, genom att använda flera ingångspunkter beroende på målmiljön. Tidiga incidenter involverade exponerade SonicWall VPN-system, medan senare attacker utnyttjade CVE-2025-26399-felet.

Ytterligare intrångsmetoder som observerats i efterföljande kampanjer inkluderar:

  • Intrång i exponerade Cisco SSL VPN-tjänster
  • Social ingenjörskonst via Microsoft Teams, där angripare utger sig för att vara IT-personal
  • Leverans av skadliga nyttolaster via Quick Assist

Dessa varierade tillvägagångssätt belyser en blandning av tekniskt utnyttjande och bedrägeri riktat mot människor.

Åtgärder efter kompromettering och datastöld

Väl inne i ett nätverk använder angripare avancerade efterbehandlingstekniker för att extrahera känslig data och eskalera sitt fotfäste. Processen innebär vanligtvis att skapa skuggkopior med hjälp av VSS (vssuirun.exe), följt av att använda SMB-protokoll för att kopiera kritiska systemfiler som NTDS.dit, SAM och SYSTEM registerhives till tillfälliga kataloger.

I senare skeden missbrukas legitima binärfiler som ADNotificationManager.exe för att sidladda skadliga nyttolaster, särskilt en Havoc C2-komponent (vcruntime140_1.dll). Dataexfiltrering utförs sedan med hjälp av Rclone, och överför stulen information till fjärr-SFTP-servrar.

Ransomware-funktioner och krypteringsstrategi

Ransomware-stammen Payouts King uppvisar stark teknisk sofistikering. Den använder omfattande förvirrings- och antianalystekniker för att undvika upptäckt, samtidigt som den bibehåller beständighet genom schemalagda uppgifter och inaktiverar säkerhetsverktyg via systemanrop på låg nivå.

Dess krypteringsmekanism kombinerar AES-256 i CTR-läge med RSA-4096, och tillämpar intermittent kryptering för större filer för att optimera hastighet och effekt. Offren leds till webbplatser med läckor på mörka webben via lösensummor, vilket ökar trycket genom hotet om dataexponering.

Bevis tyder på att denna ransomware-operation kan vara kopplad till tidigare dotterbolag till Black Basta-gruppen, baserat på överlappande taktiker som spambombningar, nätfiske via Microsoft Teams och missbruk av fjärråtkomstverktyg.

Viktiga indikatorer på kompromiss att hålla koll på

För att försvara sig mot detta ständigt föränderliga hot bör organisationer övervaka följande varningstecken:

  • Obehöriga installationer eller utförande av QEMU
  • Misstänkta schemalagda uppgifter som körs med förhöjda SYSTEM-behörigheter
  • Ovanlig SSH-portvidarebefordransaktivitet
  • Utgående SSH-tunnlar med icke-standardiserade portar

Tidig upptäckt av dessa indikatorer kan avsevärt minska risken för långvarig kompromettering och dataförlust.

Trendigt

Mest sedda

Läser in...