RansomwareSchwachstellenHackerangriffe

Payouts King: Wie Ransomware-Betreiber mit QEMU-Emulatoren Sicherheitssysteme umgehen

Payouts King: Wie Ransomware-Betreiber mit QEMU-Emulatoren Sicherheitssysteme umgehen
Zusammenfassung

Die Ransomware-Gruppe Payouts King nutzt eine ausgefeilte Taktik, um klassische Sicherheitslösungen zu umgehen: Sie setzt den Open-Source-Emulator QEMU ein, um versteckte virtuelle Maschinen auf kompromittierten Systemen auszuführen. Da Sicherheitssoftware auf dem Host-System den Inhalt dieser VMs nicht durchsuchen kann, bietet dies Angreifern einen idealen Schutzraum für die Ausführung von Schadsoftware, die Speicherung bösartiger Dateien und die Einrichtung verdeckter Remote-Access-Tunnel über SSH. Sicherheitsforscher von Sophos dokumentierten zwei aktive Kampagnen, in denen diese Technik eingesetzt wurde. Die erste wird mit Payouts King und der Bedrohungsgruppe GOLD ENCOUNTER in Verbindung gebracht und nutzt exponierte VPN-Geräte und bekannte Schwachstellen für den initialen Zugriff. Die zweite Kampagne exploitet die CitrixBleed-2-Lücke in NetScaler-Systemen. Besonders besorgniserregend ist die hohe Professionalität: Angreifer verwenden legitime Windows-Tools für Sideloading, verstecken virtuelle Datenträger als Datenbanken und kompilieren Hack-Tools direkt in den VMs. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, insbesondere für solche mit exponierten Fernzugriffssystemen oder VMware-Infrastrukturen.

Die Funktionsweise dieser neuen Angriffsweise ist bemerkenswert: Angreifer erstellen eine geplante Aufgabe namens “TPMProfiler”, die eine versteckte QEMU-VM mit Systemrechten startet. Da Sicherheitslösungen auf dem Host-System Inhalte innerhalb der virtuellen Maschine nicht überwachen können, bietet dies ideale Bedingungen für Cyberkriminelle. Sie können dort Malware-Payloads ausführen, bösartige Dateien speichern und über SSH-Tunnel verdeckten Remote-Zugriff aufbauen.

In der ersten dokumentierten Kampagne (STAC4713), die seit November 2025 aktiv ist, installieren die Angreifer Alpine Linux 3.22.0 in der VM zusammen mit Tools wie AdaptixC2, Chisel, BusyBox und Rclone. Besonders raffiniert: Sie tarnen die virtuellen Festplatten-Dateien als Datenbankdateien oder DLL-Dateien. Der initiale Zugang erfolgt über exponierte SonicWall-VPN-Systeme oder durch Ausnutzung der SolarWinds-Schwachstelle CVE-2025-26399.

Nach dem Eindringen nutzen die Angreifer klassische Methoden zur Credential-Harvesting: Sie erstellen Shadow Copies über VSS und kopieren kritische Windows-Hashes (NTDS.dit, SAM, SYSTEM) in temporäre Verzeichnisse. Laut Zscaler-Analysen ist Payouts King wahrscheinlich mit ehemaligen BlackBasta-Affiliates verbunden, erkennbar an ähnlichen Angriffsmustern wie Spam-Bombardierung und Microsoft-Teams-Phishing mit QuickAssist-Missbrauch.

Die Ransomware selbst nutzt eine Hybrid-Verschlüsselung: AES-256 im CTR-Modus kombiniert mit RSA-4096. Bei größeren Dateien wird nur eine teilweise Verschlüsselung durchgeführt, um Geschwindigkeit zu optimieren. Lösegeldnoten verweisen auf Dark-Web-Leak-Seiten.

Die zweite Kampagne (STAC3725) seit Februar folgt einem ähnlichen Muster, nutzt aber die Citrix-Schwachstelle CVE-2025-5777 für den Zugang. Nach Kompromittierung der NetScaler-Geräte installieren Angreifer einen ScreenConnect-Client für persistente Fernwartung und laden dann ein QEMU-Paket nach. Bemerkenswert: Statt vorgefertigter Tools kompilieren die Angreifer ihre Werkzeuge selbst innerhalb der VM, darunter Impacket, KrbRelayx, BloodHound.py und Metasploit.

Sophos empfiehlt Organisationen, auf verdächtige geplante Tasks mit SYSTEM-Rechten, ungewöhnliche SSH-Port-Weiterleitung und SSH-Tunnel auf nicht-standardisierten Ports zu achten. Auch unerwartete QEMU-Installationen sollten Alarm auslösen.

Ähnliche Artikel