Payouts King, en ökänd ransomware-grupp, har tagit till en ny metod för att kringgå traditionell säkerhet på endpoint-nivå genom att använda QEMU, en öppen källkodsemulator och virtualiseringsplattform. Denna teknik möjliggör för angripare att köra dolda virtuella maskiner (VM) på komprometterade system, en metod som har visat sig vara effektiv för att undgå upptäckten av vanliga säkerhetsverktyg.

QEMU fungerar som en CPU-emulator och ett verktyg för systemvirtualisering, vilket tillåter användare att köra operativsystem som virtuella maskiner på en värddator. Genom att kapsla in skadlig aktivitet inom gränserna för en virtuell maskin blir det nästan omöjligt för traditionella säkerhetslösningar att inspektera och upptäcka dessa processer. Detta beror på att säkerhetsverktyg vanligtvis är utformade för att övervaka och analysera processer som körs direkt på värdmaskinen, inte inom en isolerad VM.

Enligt forskning från Sophos har Payouts King implementerat lättvikts-VM:ar baserade på Alpine Linux, som är kända för sin minimala storlek och effektivitet. Dessa VM:ar använder QCOW-format för att lagra VM-bilder, vilket ytterligare komplicerar detekteringen. Genom att använda en reverse SSH-backdoor får angriparna tillgång till dessa dolda VM:ar och kan därmed exekvera skadliga payloads utan att synas.

Metoden att använda QEMU för att köra dolda VM:ar är en del av en större trend där ransomware-grupper alltmer använder virtualiseringsteknik för att undvika upptäckter. Detta ställer nya krav på säkerhetslösningar som nu måste kunna inspektera aktivitet inom virtuella miljöer, inte bara på värdmaskiner. För företag i den nordiska regionen, kända för sina robusta IT-säkerhetsåtgärder, innebär detta en ny utmaning där traditionella antivirussystem och brandväggar kanske inte längre räcker till.

För att hantera denna nya hotbild behöver företag uppdatera sina säkerhetsstrategier och inkludera övervakning och analys av virtualiserade miljöer. Det innebär också ett ökat fokus på att säkra VPN-anslutningar och applikationssårbarheter, eftersom initial åtkomst ofta sker genom dessa vektorer. Det är viktigt att säkerhetslösningar utvecklas i takt med hotlandskapet, särskilt med tanke på hur snabbt cyberkriminella anpassar sina metoder.

Sammanfattningsvis visar användningen av QEMU i ransomware-attacker hur innovativa och anpassningsbara cyberkriminella har blivit. För att effektivt skydda sina system behöver organisationer implementera mer avancerade övervakningstekniker och säkerhetsprotokoll, vilket kan utgöra en utmaning men också en möjlighet för säkerhetssektorn att utvecklas och förbättras.

FAKTAKOLL: Notering — Rubriken och ingressen nämner inte att QEMU används som en reverse SSH-backdoor, vilket är en viktig del av attackmetoden enligt källmaterialet.; Artikeln nämner inte att Payouts King ransomware är kopplat till GOLD ENCOUNTER-gruppen, vilket är en viktig detalj från källmaterialet.; Det finns ingen specifik referens till de två kampanjerna som Sophos spårar, STAC4713 och STAC3725, som nämns i källmaterialet.