Payouts King koristi QEMU virtuelne mašine da zaobiđe endpoint zaštitu
BleepingComputer prenosi Sophos nalaz da grupa povezana sa Payouts King ransomware-om koristi QEMU za pokretanje skrivenih virtuelnih mašina na kompromitovanim sistemima. Poenta je da se alati, fajlovi i tuneli za dalji pristup prebace u VM koju bezbednosna rešenja na hostu ne vide u istoj meri kao klasične procese. U uočenim napadima korišćeni su i reverse SSH tuneli, Alpine Linux okruženje sa napadačkim alatima, kao i različiti vektori početnog pristupa, od izloženih VPN uređaja do Quick Assist prevare preko Microsoft Teams-a.
Ovde problem nije samo još jedan ransomware, već način na koji napadač sklanja deo aktivnosti u lokalnu virtuelnu mašinu i time otežava detekciju i analizu. Kada se upad, krađa kredencijala i priprema za enkripciju odvijaju kroz skriven VM sloj, standardni endpoint nadzor lako gubi deo slike.
- Tražiti neautorizovane QEMU instalacije, qcow2 fajlove i sumnjive scheduled task stavke koje rade kao SYSTEM
- Pratiti izlazne SSH tunele, port forwarding i neobične konekcije ka nestandardnim portovima
- Hitno zakrpiti NetScaler i SolarWinds Web Help Desk gde su prisutni, kao i dodatno zaštititi izložene VPN servise
- Ograničiti ili strogo nadzirati Quick Assist i slične alate za daljinski pristup
- Posebno pratiti pokušaje kopiranja NTDS.dit, SAM i SYSTEM hive fajlova iz kompromitovanih sistema