Ransomware skupina Payouts King je razvila inovativno metodo za obhod varnostnih rešitev na končnih točkah, pri čemer izkorišča QEMU emulator za zaganjanje prikritih virtualnih strojev na okuženih sistemih. Ta pristop predstavlja zaskrbljujoč trend v evoluciji ransomware napadov.
Napadalci najprej vzpostavijo reverzni SSH tunel z uporabo QEMU emulatorja, kar jim omogoča izvajanje virtualnih strojev, ki ostanejo nevidni večini EDR (Endpoint Detection and Response) rešitev. Znotraj teh virtualnih okolij nato izvajajo škodljive aktivnosti, vključno s šifriranjem podatkov, brez da bi sprožili alarme tradicionalnih varnostnih sistemov.
Tehnika temelji na dejstvu, da večina varnostnih rešitev spremlja procese in aktivnosti na gostujočem operacijskem sistemu, medtem ko ostajajo aktivnosti znotraj virtualiziranih okolij pogosto neopažene. QEMU kot odprtokodni emulator omogoča napadalcem skoraj neomejen nadzor nad virtualnimi stroji, kar jim daje fleksibilnost pri izvajanju napadov.
Varnostni strokovnjaki opozarjajo, da ta metoda predstavlja resno grožnjo predvsem za podjetja, ki še niso implementirali naprednih pristopov k varnosti. Tradicionalne signature-based detekcijske metode so v tem primeru praktično neučinkovite, saj se škodljiva koda izvaja v izoliranem okolju.
Za zaščito pred tovrstnimi napadi strokovnjaki priporočajo večplastni pristop k varnosti. Ključnega pomena je implementacija naprednega mrežnega monitoringa, ki lahko zazna neobičajne SSH tunele in mrežni promet. Podjetja bi morala tudi strogo nadzorovati uporabo virtualizacijskih orodij in implementirati application whitelisting, ki omejuje izvajanje nepooblaščene programske opreme.
Prav tako je priporočljiva uporaba varnostnih rešitev, ki temeljijo na vedenjski analizi in so sposobne zaznati anomalije tudi v virtualiziranih okoljih. Redno posodabljanje varnostnih rešitev in izvajanje penetracijskih testov lahko dodatno okrepi obrambo proti tem sofisticiranim napadom.
Vir: https://www.bleepingcomputer.com/news/security/payouts-king-ransomware-uses-qemu-vms-to-bypass-endpoint-security/
Originalna objava: 2026-04-17
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.