Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware Rey de los Pagos

Ransomware Rey de los Pagos

Por Mezo en Ransomware
Traducir a:

El ransomware Payouts King ha introducido una técnica altamente evasiva al utilizar QEMU como puerta trasera SSH inversa. Este método permite a los atacantes desplegar máquinas virtuales (VM) ocultas directamente en los sistemas comprometidos, eludiendo así los controles de seguridad tradicionales de los endpoints.

QEMU, un emulador de CPU y plataforma de virtualización de código abierto, permite que los sistemas operativos se ejecuten como máquinas virtuales en un dispositivo anfitrión. Dado que la mayoría de las soluciones de seguridad no pueden inspeccionar la actividad dentro de estas máquinas virtuales, los atacantes aprovechan esta vulnerabilidad para ejecutar código malicioso, almacenar datos dañinos y establecer túneles de acceso remoto encubiertos mediante conexiones SSH.

Esta táctica no es del todo nueva. Se ha observado un abuso similar de QEMU en operaciones vinculadas a grupos como el grupo de ransomware 3AM, LoudMiner y la campaña de phishing CRON#TRAP.

Dentro de la campaña STAC4713

Investigadores de seguridad han identificado dos campañas importantes relacionadas con el despliegue de QEMU, una de ellas denominada STAC4713, detectada por primera vez en noviembre de 2025. Esta campaña se ha vinculado directamente con la operación de ransomware Payouts King y se atribuye al grupo GOLD ENCOUNTER.

GOLD ENCOUNTER es conocido por atacar hipervisores e implementar cifradores en entornos VMware y ESXi. En esta campaña, los atacantes logran persistencia y sigilo mediante la creación de una tarea programada llamada TPMProfiler, que inicia una máquina virtual QEMU oculta con privilegios de nivel SYSTEM.

Para evitar ser detectados, los archivos de disco virtual maliciosos se disfrazan de archivos de base de datos y DLL legítimos. Además, se configura el reenvío de puertos para permitir el acceso encubierto al sistema infectado mediante túneles SSH inversos. La máquina virtual desplegada ejecuta Alpine Linux 3.22.0 e incluye un conjunto de herramientas de ataque como AdaptixC2, Chisel, BusyBox y Rclone.

Vías de acceso inicial y explotación

Los atacantes han demostrado flexibilidad para obtener acceso inicial, utilizando múltiples puntos de entrada según el entorno objetivo. Los primeros incidentes involucraron sistemas VPN SonicWall expuestos, mientras que los ataques más recientes explotaron la vulnerabilidad CVE-2025-26399.

Entre los métodos de intrusión adicionales observados en campañas posteriores se incluyen:

  • Compromiso de los servicios VPN SSL de Cisco expuestos
  • Ingeniería social a través de Microsoft Teams, donde los atacantes se hacen pasar por personal de TI.
  • Entrega de cargas útiles maliciosas a través de Quick Assist

Estos enfoques tan diversos ponen de manifiesto una combinación de explotación técnica y engaño dirigido a personas.

Operaciones posteriores a la intrusión y robo de datos

Una vez dentro de la red, los atacantes emplean técnicas avanzadas de post-explotación para extraer datos confidenciales y afianzar su posición. El proceso suele consistir en crear copias de seguridad mediante VSS (vssuirun.exe), para luego aprovechar los protocolos SMB y copiar archivos críticos del sistema, como NTDS.dit, SAM y los archivos de registro del sistema, en directorios temporales.

En etapas posteriores, se abusa de binarios legítimos como ADNotificationManager.exe para instalar cargas maliciosas, específicamente un componente C2 de Havoc (vcruntime140_1.dll). Posteriormente, se realiza la exfiltración de datos mediante Rclone, transfiriendo la información robada a servidores SFTP remotos.

Capacidades del ransomware y estrategia de cifrado

La variante de ransomware Payouts King demuestra una gran sofisticación técnica. Incorpora técnicas avanzadas de ofuscación y anti-análisis para evadir la detección, al tiempo que mantiene su persistencia mediante tareas programadas y desactiva las herramientas de seguridad a través de llamadas al sistema de bajo nivel.

Su mecanismo de cifrado combina AES-256 en modo CTR con RSA-4096, aplicando cifrado intermitente para archivos grandes con el fin de optimizar la velocidad y el impacto. Las víctimas son redirigidas a sitios de filtración en la web oscura mediante notas de rescate, lo que aumenta la presión a través de la amenaza de exposición de datos.

Las pruebas sugieren que esta operación de ransomware podría estar vinculada a antiguos afiliados del grupo Black Basta, basándose en tácticas coincidentes como el bombardeo de spam, el phishing a través de Microsoft Teams y el abuso de herramientas de acceso remoto.

Indicadores clave de compromiso a tener en cuenta

Para defenderse de esta amenaza en constante evolución, las organizaciones deben estar atentas a las siguientes señales de alerta:

  • Instalaciones o ejecución no autorizadas de QEMU
  • Tareas programadas sospechosas que se ejecutan con privilegios de sistema elevados.
  • Actividad inusual de reenvío de puertos SSH
  • Túneles SSH salientes que utilizan puertos no estándar

La detección temprana de estos indicadores puede reducir significativamente el riesgo de una vulneración prolongada de la seguridad y la pérdida de datos.

Tendencias

Estafa por correo electrónico sobre seguridad de...

Suplantación de identidad (phishing), Correo basura
En el panorama actual de amenazas, el correo electrónico sigue siendo uno de los puntos de entrada más comunes para los ciberataques. Los usuarios deben mantenerse alerta ante mensajes inesperados, especialmente aquellos que instan a tomar medidas inmediatas. Muchos de estos correos electrónicos son estafas cuidadosamente elaboradas, y es importante comprender que no están asociados con ninguna...

Mas Visto

Cargando...