Grupos de ransomware ocultan su actividad maliciosa con máquinas virtuales basadas en QEMU
Los grupos de ransomware están utilizando cada vez más la virtualización para ocultar sus acciones de los sistemas de seguridad. Los operadores del ransomware Payouts King y otros grupos ciberdelincuentes despliegan máquinas virtuales ocultas en los hosts comprometidos, lo que les permite eludir las soluciones antivirus y EDR.
Cómo funciona el ataque con QEMU
Los atacantes inyectan el hipervisor de código abierto QEMU en el sistema objetivo. Dentro de la máquina virtual, se ejecuta un sistema operativo ligero como Alpine Linux, sin dejar rastros en el host. Todas las herramientas maliciosas, incluido el acceso remoto, el robo de datos y las utilidades de reconocimiento, operan dentro de este entorno aislado, permaneciendo invisibles para las herramientas de monitoreo del sistema operativo host.
Este enfoque ofrece a los atacantes varias ventajas:
- Los archivos maliciosos no son escaneados por el antivirus del host.
- Las conexiones de red iniciadas desde la VM aparecen como tráfico legítimo de QEMU.
- Se puede ejecutar cualquier herramienta dentro de la VM sin riesgo de detección.
Dos campañas: Payouts King y ataques a través de vulnerabilidades de Citrix
Los investigadores de Sophos documentaron dos incidentes donde se utilizó esta técnica. En el primer caso (STAC4713), el grupo GOLD ENCOUNTER, vinculado al ransomware Payouts King, utilizó QEMU para la persistencia en la red. El segundo caso (STAC3725) se basó en la explotación de la vulnerabilidad CitrixBleed 2 (CVE-2025-5777) en dispositivos NetScaler.
Campaña STAC4713: Payouts King
Los operadores crearon una tarea programada llamada TPMProfiler que ejecutaba QEMU con privilegios de SYSTEM. Los discos virtuales estaban disfrazados como archivos de base de datos o DLL. Dentro de la VM, se ejecutaba Alpine Linux con herramientas preinstaladas:
- AdaptixC2 — para la gestión del canal de comandos.
- Chisel — para el proxy de tráfico.
- BusyBox — para ejecutar comandos del sistema.
- Rclone — para el robo de datos.
El acceso inicial se logró a través de vulnerabilidades en SonicWall VPN o SolarWinds Web Help Desk (CVE-2025-26399). Tras la penetración, los atacantes extrajeron credenciales de Active Directory utilizando Volume Shadow Copy (VSS) y copiando los archivos NTDS.dit, SAM y SYSTEM.
Campaña STAC3725: Ataques a través de CitrixBleed 2
En este ataque, los atacantes explotaron una vulnerabilidad en NetScaler, luego instalaron ScreenConnect para acceso remoto y desplegaron QEMU con Alpine Linux. A diferencia de la primera campaña, las herramientas se ensamblaron manualmente dentro de la VM. Estas incluían:
- Impacket — para trabajar con protocolos de red de Windows.
- KrbRelayx — para ataques Kerberos.
- BloodHound.py — para el análisis de Active Directory.
- Metasploit — para la post-explotación.
El objetivo era el robo de credenciales, el reconocimiento del dominio y la preparación para la exfiltración de datos a través de FTP.
Conclusiones clave
- El uso de QEMU permite al ransomware eludir la mayoría de las medidas de seguridad del host.
- Es probable que Payouts King esté vinculado a antiguos miembros de BlackBasta, como lo demuestran métodos similares de ingeniería social.
- El ransomware utiliza AES-256 para los datos y RSA-4096 para las claves, junto con cifrado intermitente para mayor velocidad.
- Se recomienda a las empresas monitorear instalaciones no autorizadas de QEMU, tareas sospechosas a nivel de SYSTEM y túneles SSH inusuales.
Contexto e implicaciones
La tendencia de utilizar virtualización en ataques está creciendo. Anteriormente, métodos similares fueron utilizados por los grupos 3AM, LoudMiner y en la campaña de phishing CRON#TRAP. Para defenderse de estas amenazas, las organizaciones deben implementar monitoreo a nivel de hipervisor, restringir los derechos de instalación de software y utilizar análisis de comportamiento.
— Editorial Team
Aún no hay comentarios.