AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El ransomware Payouts King utiliza QEMU y reverse SSH para ocultar máquinas virtuales y eludir la seguridad endpoint**

admin

### 1. Introducción

En un nuevo giro dentro del panorama de las amenazas avanzadas, investigadores de seguridad han detectado que el ransomware Payouts King está recurriendo a técnicas poco convencionales para maximizar su persistencia y evadir los controles tradicionales. Este grupo ha integrado el uso de QEMU, un conocido emulador de hardware y virtualizador de código abierto, junto con conexiones reverse SSH, para desplegar máquinas virtuales ocultas en los sistemas comprometidos. Esta innovadora táctica busca eludir las soluciones de seguridad endpoint y dificultar enormemente la detección y remediación por parte de los equipos de ciberseguridad.

### 2. Contexto del Incidente o Vulnerabilidad

El ransomware Payouts King, identificado inicialmente a principios de 2024, ha ido evolucionando en sus técnicas de evasión. Tradicionalmente, los ransomware han utilizado herramientas como Cobalt Strike, Metasploit o PowerShell para moverse lateralmente y ejecutar cargas útiles, pero la integración de QEMU y reverse SSH marca una sofisticación notable.

El incidente fue identificado tras una serie de compromisos en empresas de los sectores financiero e industrial del centro de Europa, donde los analistas detectaron inusuales picos de actividad de procesos relacionados con QEMU y conexiones salientes persistentes a través de SSH reverso. Al examinar los sistemas afectados, se constató la presencia de máquinas virtuales ocultas, independientes del sistema operativo anfitrión y gestionadas completamente de manera remota por los atacantes.

### 3. Detalles Técnicos

#### CVE y vectores de ataque

Hasta la fecha, no se ha asignado un CVE específico a la técnica de abuso de QEMU en este contexto, pero la explotación se basa en la descarga y ejecución de binarios QEMU legítimos en hosts Windows y Linux. El vector inicial sigue siendo el phishing dirigido y explotación de credenciales débiles en servidores expuestos a Internet.

#### Tácticas, Técnicas y Procedimientos (TTP) – MITRE ATT&CK

– **T1564.002 (Hide Artifacts: Hidden Files and Directories):** Uso de archivos ocultos para almacenar imágenes de VM y configuraciones.
– **T1071.003 (Application Layer Protocol: SSH):** Reverse SSH para establecer canales de C2.
– **T1563.002 (Remote Service Session Hijacking: SSH Hijacking):** Secuestro de sesiones SSH para movimiento lateral.
– **T1202 (Indirect Command Execution):** Ejecución de cargas útiles dentro de entornos virtualizados no monitorizados.
– **T1486 (Data Encrypted for Impact):** Cifrado de archivos dentro y fuera de la VM.

#### IoC (Indicadores de Compromiso)

– Presencia de procesos `qemu-system-x86_64.exe` o variantes.
– Archivos de configuración de QEMU en rutas inusuales o con atributos ocultos.
– Conexiones SSH salientes persistentes a IPs no autorizadas (puertos 22, 2222).
– Creación de adaptadores de red virtuales no documentados.
– Logs de acceso remoto fuera del horario habitual.

#### Herramientas y frameworks

– **QEMU (v7.x y v8.x):** Para desplegar máquinas virtuales Windows y Linux.
– **Herramientas SSH (OpenSSH, Dropbear):** Para el establecimiento de túneles reversos.
– **Scripts personalizados en Python y Bash** para automatizar despliegue y persistencia.

### 4. Impacto y Riesgos

Esta táctica supone un cambio de paradigma, ya que permite a los atacantes operar en un entorno virtual completamente oculto al sistema anfitrión y, por ende, a la mayoría de soluciones EDR y antivirus. Los procesos maliciosos se ejecutan dentro de la VM, dificultando su detección mediante análisis de procesos o integridad de archivos en el host. Según estimaciones iniciales, al menos un 8% de los casos de ransomware detectados en el segundo trimestre de 2024 han mostrado indicios de uso de virtualización para evasión.

Desde el punto de vista económico, los rescates demandados por Payouts King oscilan entre 80.000 y 500.000 euros, y el coste de recuperación se incrementa debido a la necesidad de analizar tanto el host como las imágenes virtuales para erradicar la amenaza.

### 5. Medidas de Mitigación y Recomendaciones

– **Monitorización de procesos y conexiones:** Configurar alertas para procesos relacionados con QEMU y conexiones SSH no autorizadas.
– **Control de aplicaciones:** Restringir la ejecución de binarios no aprobados y herramientas de virtualización en endpoints y servidores.
– **Segmentación de red:** Minimizar la exposición de servicios SSH y aplicar reglas de firewall restrictivas.
– **Detección de adaptadores virtuales:** Inventariar y monitorizar interfaces de red virtuales inesperadas.
– **Actualización de EDR:** Verificar que las soluciones de seguridad incluyen detección de actividad virtualizada y técnicas de evasión avanzada.
– **Respuesta ante incidentes:** En caso de compromiso, analizar la presencia de imágenes de discos virtuales y eliminar cualquier rastro de QEMU y conexiones SSH persistentes.
– **Formación:** Sensibilizar a usuarios y administradores sobre phishing avanzado y técnicas de evasión.

### 6. Opinión de Expertos

Especialistas de firmas como Mandiant y Kaspersky han calificado esta táctica como un “game changer” en el ámbito del ransomware. “El uso de virtualización añade una capa extra de complejidad, obligando a los defensores a revisar sus metodologías de análisis forense y detección”, explica Javier Rubio, analista de amenazas. María Álvarez, CISO de una entidad financiera, advierte: “La combinación de QEMU y reverse SSH multiplica la superficie de ataque y genera incertidumbre sobre la integridad de los sistemas afectados”.

### 7. Implicaciones para Empresas y Usuarios

El despliegue de máquinas virtuales ocultas requiere que las organizaciones revisen sus políticas de control de aplicaciones y monitorización de red. Bajo la normativa GDPR y la futura Directiva NIS2, la incapacidad para detectar y mitigar estas amenazas puede acarrear sanciones significativas, especialmente si se ven comprometidos datos personales o servicios esenciales. Los usuarios corporativos deben estar alerta ante cualquier solicitud de instalación de herramientas de virtualización, incluso si parecen legítimas.

### 8. Conclusiones

La adopción de QEMU y reverse SSH por parte de Payouts King representa una evolución significativa en las tácticas de evasión de ransomware. Esta técnica desafía los controles tradicionales de seguridad endpoint y exige una respuesta proactiva por parte de los responsables de ciberseguridad. La vigilancia continua, la actualización de herramientas de detección y la formación son fundamentales para mitigar el riesgo, en un contexto donde la virtualización se convierte en arma de doble filo.

(Fuente: www.bleepingcomputer.com)