O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.
Fonte: https://www.bleepingcomputer.com/news/security/payouts-king-ransomware-uses-qemu-vms-to-bypass-endpoint-security/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/04/2026 • Risco: ALTO
RANSOMWARE
Ransomware Payouts King usa QEMU como backdoor reverso
RESUMO EXECUTIVO
O uso do QEMU como backdoor por parte do Payouts King representa uma ameaça significativa, especialmente para organizações que utilizam virtualização e VPNs. A exploração de vulnerabilidades conhecidas e a engenharia social aumentam o risco de compromissos de segurança, exigindo que as empresas adotem medidas proativas de monitoramento e mitigação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a extorsões e interrupções operacionais.
Operacional
Comprometimento de dados e acesso não autorizado a sistemas críticos.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
Uso de AES-256 e RSA-4096 para criptografia.
Indicador
Exploração de vulnerabilidades em VPNs expostas.
Contexto BR
Campanhas documentadas pela Sophos desde 2025.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de QEMU não autorizado e tarefas agendadas suspeitas.
2
Implementar regras de firewall para bloquear acessos SSH não autorizados.
3
Monitorar continuamente atividades de SSH e tentativas de acesso a máquinas virtuais.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a capacidade dos atacantes de contornar medidas de segurança tradicionais, utilizando técnicas avançadas de virtualização e engenharia social.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
