Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Payouts King Ransomware

Payouts King Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:

Die Payouts King-Ransomware-Attacke nutzt eine äußerst raffinierte Technik, indem sie QEMU als Reverse-SSH-Backdoor einsetzt. Dieser Ansatz ermöglicht es Angreifern, versteckte virtuelle Maschinen (VMs) direkt auf kompromittierten Systemen zu installieren und so herkömmliche Endpunktsicherheitsmaßnahmen effektiv zu umgehen.

QEMU, ein Open-Source-CPU-Emulator und eine Virtualisierungsplattform, ermöglicht es, Betriebssysteme als virtuelle Maschinen auf einem Host-Gerät auszuführen. Da die meisten Sicherheitslösungen die Aktivitäten innerhalb dieser VMs nicht überwachen können, nutzen Angreifer diese Schwachstelle aus, um Schadcode auszuführen, schädliche Daten zu speichern und verdeckte Fernzugriffstunnel über SSH-Verbindungen herzustellen.

Diese Taktik ist nicht völlig neu. Ähnlicher Missbrauch von QEMU wurde bei Operationen beobachtet, die mit Gruppen wie der 3AM-Ransomware-Gruppe, LoudMiner und der Phishing-Kampagne CRON#TRAP in Verbindung stehen.

Im Inneren der STAC4713-Kampagne

Sicherheitsforscher haben zwei größere Kampagnen identifiziert, die den Einsatz von QEMU beinhalten. Eine davon, STAC4713, wurde erstmals im November 2025 beobachtet. Diese Kampagne steht in direktem Zusammenhang mit der Payouts King Ransomware-Operation und wird der GOLD ENCOUNTER-Gruppe zugeschrieben.

GOLD ENCOUNTER ist dafür bekannt, Hypervisoren anzugreifen und Verschlüsselungsprogramme in VMware- und ESXi-Umgebungen einzusetzen. Im Rahmen dieser Kampagne sichern sich die Angreifer Persistenz und Tarnung, indem sie eine geplante Aufgabe namens TPMProfiler erstellen, die eine versteckte QEMU-VM mit SYSTEM-Rechten startet.

Um nicht entdeckt zu werden, werden schädliche virtuelle Festplattendateien als legitime Datenbank- und DLL-Dateien getarnt. Zusätzlich ist Portweiterleitung konfiguriert, um verdeckten Zugriff auf das infizierte System über Reverse-SSH-Tunnel zu ermöglichen. Die eingesetzte VM läuft unter Alpine Linux 3.22.0 und enthält ein Toolkit mit Angreifer-Tools wie AdaptixC2, Chisel, BusyBox und Rclone.

Wege zum ersten Zugang und zur Nutzung

Angreifer haben Flexibilität beim Erlangen des Erstzugriffs bewiesen und je nach Zielumgebung mehrere Einfallstore genutzt. Frühe Vorfälle betrafen ungeschützte SonicWall-VPN-Systeme, während neuere Angriffe die Sicherheitslücke CVE-2025-26399 ausnutzten.

Zu den weiteren in nachfolgenden Kampagnen beobachteten Eindringmethoden gehören:

  • Kompromittierung ungeschützter Cisco SSL VPN-Dienste
  • Social Engineering über Microsoft Teams, bei dem Angreifer sich als IT-Mitarbeiter ausgeben.
  • Zustellung schädlicher Nutzdaten über Quick Assist

Diese unterschiedlichen Vorgehensweisen verdeutlichen eine Mischung aus technischer Ausnutzung und gezielter Täuschung von Menschen.

Operationen nach der Kompromittierung und Datendiebstahl

Sobald Angreifer in ein Netzwerk eingedrungen sind, nutzen sie fortgeschrittene Post-Exploitation-Techniken, um sensible Daten zu extrahieren und ihre Position zu vergrößern. Typischerweise erstellen sie dabei Schattenkopien mithilfe von VSS (vssuirun.exe) und kopieren anschließend mithilfe von SMB-Protokollen wichtige Systemdateien wie NTDS.dit, SAM und die SYSTEM-Registry-Strukturen in temporäre Verzeichnisse.

In späteren Phasen werden legitime Binärdateien wie ADNotificationManager.exe missbraucht, um schädliche Nutzdaten, insbesondere eine Havoc-C2-Komponente (vcruntime140_1.dll), einzuschleusen. Anschließend erfolgt die Datenexfiltration mittels Rclone, wobei die gestohlenen Informationen an entfernte SFTP-Server übertragen werden.

Fähigkeiten und Verschlüsselungsstrategie von Ransomware

Die Payouts King-Ransomware zeichnet sich durch hohe technische Raffinesse aus. Sie nutzt umfangreiche Verschleierungs- und Anti-Analyse-Techniken, um einer Erkennung zu entgehen, und hält sich durch geplante Aufgaben und die Deaktivierung von Sicherheitstools über systemnahe Aufrufe hartnäckig im System.

Der Verschlüsselungsmechanismus kombiniert AES-256 im CTR-Modus mit RSA-4096 und verwendet für größere Dateien eine intermittierende Verschlüsselung, um Geschwindigkeit und Wirkung zu optimieren. Die Opfer werden durch Lösegeldforderungen auf Darknet-Leak-Seiten geleitet, wodurch der Druck durch die Drohung mit der Veröffentlichung ihrer Daten erhöht wird.

Die Beweislage deutet darauf hin, dass diese Ransomware-Operation mit ehemaligen Mitgliedern der Black Basta-Gruppe in Verbindung stehen könnte, basierend auf sich überschneidenden Taktiken wie Spam-Bombing, Phishing über Microsoft Teams und dem Missbrauch von Fernzugriffstools.

Wichtige Indikatoren für einen Kompromiss, auf die man achten sollte

Um sich gegen diese sich wandelnde Bedrohung zu verteidigen, sollten Organisationen auf folgende Warnsignale achten:

  • Nicht autorisierte Installationen oder Ausführung von QEMU
  • Verdächtige geplante Aufgaben, die mit erhöhten SYSTEM-Berechtigungen ausgeführt werden
  • Ungewöhnliche SSH-Portweiterleitungsaktivität
  • Ausgehende SSH-Tunnel über nicht standardmäßige Ports

Die frühzeitige Erkennung dieser Indikatoren kann das Risiko einer längerfristigen Kompromittierung und eines Datenverlusts erheblich verringern.

Im Trend

Am häufigsten gesehen

Wird geladen...