Devis de remise multi-licences
Données concernant les menaces Ransomware Ransomware Payouts King

Ransomware Payouts King

Par Mezo en Ransomware
Se traduisent par :

L'opération de ransomware Payouts King a introduit une technique très sophistiquée en exploitant QEMU comme porte dérobée SSH inversée. Cette approche permet aux attaquants de déployer des machines virtuelles (VM) cachées directement sur les systèmes compromis, contournant ainsi les contrôles de sécurité traditionnels des terminaux.

QEMU, une plateforme open source d'émulateur de processeur et de virtualisation, permet d'exécuter des systèmes d'exploitation sous forme de machines virtuelles sur un système hôte. La plupart des solutions de sécurité étant incapables d'inspecter l'activité à l'intérieur de ces machines virtuelles, les attaquants exploitent cette faille pour exécuter des charges utiles malveillantes, stocker des données sensibles et établir des tunnels d'accès distant clandestins via des connexions SSH.

Cette tactique n'est pas entièrement nouvelle. Des utilisations abusives similaires de QEMU ont été observées dans des opérations liées à des groupes tels que le groupe de ransomware 3AM, LoudMiner et la campagne d'hameçonnage CRON#TRAP.

Au cœur de la campagne STAC4713

Des chercheurs en sécurité ont identifié deux campagnes majeures impliquant le déploiement de QEMU, dont l'une, répertoriée sous le nom de STAC4713, a été observée pour la première fois en novembre 2025. Cette campagne a été directement liée à l'opération de ransomware Payouts King et attribuée au groupe GOLD ENCOUNTER.

GOLD ENCOUNTER est connu pour cibler les hyperviseurs et déployer des outils de chiffrement dans les environnements VMware et ESXi. Dans le cadre de cette campagne, les attaquants assurent la persistance et la furtivité de leurs attaques en créant une tâche planifiée nommée TPMProfiler, qui lance une machine virtuelle QEMU cachée disposant de privilèges système.

Pour éviter d'être détectés, les fichiers de disque virtuel malveillants sont dissimulés sous l'apparence de fichiers de base de données et de DLL légitimes. De plus, la redirection de ports est configurée pour permettre un accès furtif au système infecté via des tunnels SSH inversés. La machine virtuelle déployée exécute Alpine Linux 3.22.0 et intègre une panoplie d'outils d'attaque tels qu'AdaptixC2, Chisel, BusyBox et Rclone.

Voies d’accès et d’exploitation initiales

Les attaquants ont fait preuve de flexibilité pour obtenir un accès initial, en utilisant de multiples points d'entrée selon l'environnement ciblé. Les premiers incidents concernaient des systèmes VPN SonicWall exposés, tandis que les attaques plus récentes ont exploité la faille CVE-2025-26399.

Parmi les autres méthodes d'intrusion observées lors des campagnes ultérieures, on peut citer :

  • Compromission des services VPN SSL Cisco exposés
  • Ingénierie sociale via Microsoft Teams, où les attaquants se font passer pour du personnel informatique
  • Livraison de charges utiles malveillantes via Quick Assist

Ces approches variées mettent en évidence un mélange d'exploitation technique et de tromperie ciblant l'humain.

Opérations post-compromission et vol de données

Une fois infiltrés dans un réseau, les attaquants utilisent des techniques de post-exploitation avancées pour extraire des données sensibles et étendre leur emprise. Le processus consiste généralement à créer des copies de sauvegarde (shadow copies) à l'aide de VSS (vssuirun.exe), puis à exploiter le protocole SMB pour copier des fichiers système critiques tels que NTDS.dit, SAM et les ruches de registre SYSTEM dans des répertoires temporaires.

Dans un second temps, des fichiers binaires légitimes comme ADNotificationManager.exe sont détournés pour installer des charges utiles malveillantes, notamment un composant C2 de Havoc (vcruntime140_1.dll). L'exfiltration des données est ensuite réalisée à l'aide de Rclone, transférant les informations volées vers des serveurs SFTP distants.

Capacités des ransomwares et stratégie de chiffrement

Le ransomware Payouts King fait preuve d'une grande sophistication technique. Il utilise des techniques d'obfuscation et d'anti-analyse poussées pour échapper à la détection, tout en assurant sa persistance grâce à des tâches planifiées et à la désactivation des outils de sécurité via des appels système de bas niveau.

Son mécanisme de chiffrement combine AES-256 en mode CTR avec RSA-4096, appliquant un chiffrement intermittent aux fichiers volumineux afin d'optimiser la vitesse et l'impact. Les victimes sont redirigées vers des sites de fuite de données du dark web via des demandes de rançon, ce qui accroît la pression par la menace de divulgation de leurs données.

Des éléments laissent penser que cette opération de ransomware pourrait être liée à d'anciens affiliés du groupe Black Basta, sur la base de tactiques similaires telles que le spam bombing, le phishing via Microsoft Teams et l'utilisation abusive d'outils d'accès à distance.

Indicateurs clés de compromission à surveiller

Pour se prémunir contre cette menace évolutive, les organisations doivent surveiller les signes avant-coureurs suivants :

  • Installation ou exécution non autorisée de QEMU
  • Des tâches planifiées suspectes s'exécutent avec des privilèges SYSTEM élevés.
  • Activité inhabituelle de redirection de port SSH
  • Tunnels SSH sortants utilisant des ports non standard

La détection précoce de ces indicateurs peut réduire considérablement le risque de compromission prolongée et de perte de données.

Tendance

Arnaque par e-mail concernant la sécurité des...

Hameçonnage, Courrier indésirable
Dans le contexte actuel des menaces informatiques, le courrier électronique demeure l'un des vecteurs d'attaque les plus fréquents. Les utilisateurs doivent rester vigilants face aux messages inattendus, en particulier ceux qui exigent une action immédiate. Nombre de ces courriels sont des arnaques élaborées, et il est essentiel de comprendre qu'ils ne sont associés à aucune entreprise,...

Le plus regardé

Chargement...