Ombre virtuali: come il ransomware Payouts King usa macchine nascoste per aggirare le difese

Nel mondo ad alta posta in gioco del cybercrimine, l’innovazione è incessante. L’ultima svolta? Le gang di ransomware non si accontentano più di introdurre di nascosto codice malevolo nel tuo sistema: stanno avviando interi mondi virtuali dentro il tuo computer, proprio sotto il tuo naso. La famigerata operazione ransomware Payouts King è stata colta con le mani nel sacco mentre utilizzava la piattaforma di virtualizzazione QEMU per lanciare macchine virtuali (VM) Linux nascoste, eludendo gli strumenti di sicurezza e prendendo il controllo delle reti bersaglio con una precisione inquietante.

Fatti rapidi

• Il ransomware Payouts King sfrutta macchine virtuali QEMU per nascondere attività malevole agli strumenti di sicurezza basati sull’host.
• Gli attaccanti usano tunnel SSH inversi e attività pianificate occulte per mantenere accesso remoto e persistenza.
• I vettori di accesso iniziale includono VPN esposte, phishing via Microsoft Teams, abuso di Quick Assist e sfruttamento di vulnerabilità importanti come CitrixBleed 2 e falle di SolarWinds.
• L’operazione ha legami con ex affiliati di BlackBasta e impiega forte offuscamento, tecniche anti-analisi e schemi di cifratura robusti.
• Le vittime vengono indirizzate a siti di leak sul dark web tramite note di riscatto, con i dati rubati esfiltrati attraverso strumenti come Rclone e server FTP.

La magia tecnica al cuore di questi attacchi è al tempo stesso semplice e subdola. QEMU, un emulatore open-source pensato per la virtualizzazione legittima, viene trasformato in un’arma: gli attaccanti distribuiscono VM Alpine Linux furtive come processi a livello SYSTEM, rendendole invisibili alla maggior parte dei sistemi di rilevamento sugli endpoint. Dentro queste fortezze virtuali, gli attaccanti nascondono i payload ransomware, toolkit per il furto di credenziali e utilità di accesso remoto. Poiché le soluzioni di sicurezza tradizionali non riescono facilmente a scrutare questi ambienti isolati, gli attaccanti operano impunemente - raccogliendo credenziali di dominio, preparando dati rubati e persino installando meccanismi di persistenza come ScreenConnect per un accesso continuativo.

I ricercatori di Sophos hanno tracciato due grandi campagne attribuite al gruppo di minaccia GOLD ENCOUNTER, noto per colpire gli hypervisor e per sfruttare cifratori ransomware avanzati. In una campagna, gli attaccanti hanno violato le reti tramite VPN SonicWall e Cisco esposte, oppure ingannando i dipendenti su Teams affinché installassero strumenti di assistenza remota. Una volta dentro, hanno eseguito il sideload di payload malevoli e usato strumenti come Rclone per sottrarre dati sensibili verso server remoti. Un’altra campagna ha sfruttato la vulnerabilità di alto profilo CitrixBleed 2, consentendo agli attaccanti di compromettere appliance NetScaler e distribuire la loro piattaforma d’attacco virtuale.

È significativo che gli attaccanti non si affidino soltanto a malware preconfezionato. All’interno delle loro VM nascoste, compilano e installano manualmente un arsenale di strumenti open-source e personalizzati - che va dai dumpers di credenziali ai kit di ricognizione di Active Directory - dimostrando sia competenza tecnica sia una profonda comprensione degli ambienti enterprise. La cifratura viene eseguita con algoritmi di livello industriale AES-256 e RSA-4096, mentre le note di riscatto indirizzano le vittime verso portali di estorsione annidati nel dark web.

Gli esperti avvertono che rilevare attacchi di questo tipo richiede un cambio di mentalità: i difensori devono cercare i segnali rivelatori di un uso non autorizzato di QEMU, attività pianificate a livello SYSTEM e tunnel SSH insoliti, non soltanto le classiche firme di malware. Man mano che le gang ransomware continuano a innovare, il confine tra strumenti IT legittimi e armamenti criminali diventa sempre più sfumato - costringendo le organizzazioni a ripensare le proprie assunzioni su ciò che si nasconde nelle loro reti.

Mentre i cybercriminali si rivolgono alla virtualizzazione per occultare le loro operazioni, i difensori si trovano davanti a una nuova frontiera scoraggiante. La battaglia per l’enterprise non riguarda più soltanto l’individuazione di file canaglia - ma lo smascheramento di interi mondi nascosti prima che prendano in ostaggio i tuoi dati.

WIKICROOK

• QEMU: QEMU è un emulatore di macchine open-source che consente di eseguire macchine virtuali, spesso usato nella cybersecurity per test sicuri di software e firmware.
• Tunnel SSH inverso: Un tunnel SSH inverso crea una connessione cifrata in uscita da un sistema remoto, consentendo l’accesso remoto anche attraverso firewall o NAT.
• Attività pianificata: Un’Attività pianificata è un’azione automatizzata di Windows che esegue programmi o comandi a orari o eventi prestabiliti, spesso presa di mira dagli attaccanti per la persistenza.
• VM (Macchina virtuale): Una VM è un’emulazione software di un computer, che esegue il proprio sistema operativo e le proprie applicazioni in isolamento per aumentare sicurezza e flessibilità.
• Rclone: Rclone è uno strumento da riga di comando per gestire file tra servizi cloud, ma viene anche sfruttato dai cybercriminali per furto ed esfiltrazione di dati.