Šta se desilo?

Grupa iza Payouts King ransomware-a razvila je sofisticiranu tehniku kojom koristi QEMU emulator za pokretanje skrivenih virtualnih mašina na inficiranim računarima. Na ovaj način napadači uspostavljaju obrnute SSH konekcije koje im omogućavaju pristup sistemu zaobilaženjem standardnih mehanizama zaštite krajnjih tačaka.

Koga pogađa?

Organizacije i preduzeća koja se oslanjaju na tradicionalne endpoint security rešenja su posebno rizična. Napadači mogu ciljati računare sa Windows operativnim sistemom u korporativnim mrežama, gde skrivene virtualne mašine ostaju nevidljive većini sigurnosnih alata.

Kako se zaštititi?

  • Redovno ažurirajte sve sistemske komponente i sigurnosni software
  • Primenjujte principem najmanje privilegije - ograničite korisnička prava samo na potrebna
  • Monitorujte neobične procese, posebno one koji inicijalizuju virtualizacijske tehnologije
  • Koristite napredniju zaštitu koja može detektovati anomalije u ponašanju sistema
  • Provedite redovne bekape kritičnih podataka i čuvajte ih izolovane od mreže
  • Edukujte zaposlene o rizicima od phishing i socijalne inženjerije kao uobičajenim vektorima napada

Tehnički detalji

Payouts King koristi QEMU emulator za izvršavanje virtualnih mašina koje ostaju skrivene od endpoint detection and response (EDR) rešenja. Obrnute SSH konekcije omogućavaju napadačima da održavaju perzistentnu kontrolu nad sistemom čak i kada su standardni kanali komunikacije blokirani. Ova tehnika predstavlja evoluciju u napadu jer koristi legitimne virtualizacijske alate na neočekivan način.

Preporuka Sajber Radara

Organizacije moraju hitno proceniti svoje odbranene mehanizme i razmotriti implementaciju rešenja koja mogu detektovati anomalije na nižim nivoima sistema. Ova vrsta napada pokazuje da tradicionalni pristup zaštiti više nije dovoljan - potrebna je kombinovana strategija koja uključuje behavioral monitoring i sistemsku higijensku praksu.