Payloadランサムウェアは、ChaCha20ストリーム暗号化とファイルごとのCurve25519 ECDH鍵交換を組み合わせた新しいWindowsランサムウェアファミリーで、攻撃者の秘密鍵がない限り、被害者のデータは実質的に復旧不可能です。
また、検出と復旧を妨げるために、ETWパッチング、VSS削除、イベントログ削除、積極的なプロセス/サービス終了を含む強力な反フォレンジクス機能も実装しています。
Payloadは2026年2月に最初に公に出現し、迅速に古典的な二重恐喝モデルを採用しました。データ盗難に続き、ファイル暗号化とリークサイトへの圧力を加えます。
数週間のうちに、このグループはエジプト、メキシコ、ポーランド、およびその他の地域で被害者を主張し、地域化されたキャンペーンではなく、即座のグローバルなフットプリントを示しました。
グループの初めてのリスト掲載はエジプトの大手不動産開発企業SODICが関わっており、Payloadの運用とリークインフラストラクチャーの最初の公開指標として機能しました。
2026年3月24日現在、リークサイトは50件のリスト登録被害者に増加しており、A-Sonic Logistics Solutionsなどの最近のケースは継続的な勢いとサプライチェーンに関連した高い混乱の対象への強調を確認しています。
Payloadの標的は広範かつ機会的ですが、いくつかのセクターが優先的な焦点領域として目立ちます。A-Sonic Logistics Solutionsを含むロジスティクスおよび運送企業は、貨物およびサプライチェーン運用全体のダウンタイムの高い財務的および運用的影響により、頻繁な被害者です。
特にエジプトおよび広域中東・北アフリカ地域の不動産および建設組織も目立つようになっており、これらの事業体が機密の財務およびプロジェクトデータの大量を管理している可能性があります。
これら以外に、Payloadは製造、プロフェッショナルサービス、技術、および一般的な商業企業に打撃を与えており、単一の業界ではなく混乱価値を中心とした戦略を示しています。
ランサムウェアはChaCha20とCurve25519を使用
Dark Atlasによると、PayloadはPE32 Windowsプログラムとして配信され、ChaCha20でユーザーデータを暗号化し、Curve25519 ECDHを経由してファイルごとに一意のキーを導出します。
ファイルごとに、マルウェアはCryptGenRandomを使用して新しい32バイトの被害者秘密鍵と12バイトのChaCha20ノンスを生成し、埋め込まれた演算子の公開鍵との共有秘密を計算し、その32バイトの共有秘密をKDFなしでChaCha20キーとして直接使用します。
暗号化後、Payloadはファイルを.payload拡張子で名前変更し、被害者の一時的な公開鍵、ノンス、および「payload」タグを格納する56バイトのRC4暗号化フッターを追加し、演算子が復号化中に共有秘密を再構築できるようにします。
ファイルごとの秘密鍵は一時的でメモリから削除されており、ECDH共有秘密はディスクに書き込まれることがないため、攻撃者のCurve25519秘密鍵がない限り、復旧は実行可能ではありません。
感染したシステムでは、Payloadは影響を受けるフォルダにRECOVER_payload.txtの身代金メモを落とし、被害者の一時的なECDH公開鍵を埋め込むg:payloadラベル形式を使用してrecovery.iniに鍵ハンドオフデータを書き込みます。
バイナリには、.payload拡張子、RECOVER_payload.txtファイル名、??\C:\payload.logログパス、およびg:payloadキーラベルを含む複数のブランディング成果物が含まれており、これらは「Payload」演算子名を総称的に確認します。
内部的には、ランサムウェアは二重エンコードされたbase64ブロブとして二次的な鍵情報を格納し、実行時に32バイトのASCII文字列に解決され、埋め込まれた身代金メモの復号化のためのRC4キーとして直接使用されます。
メモは被害者にTorをインストール、Payloadリークおよび交渉サイトを訪問し、完全なデータ公開の脅威の下で厳格な時間ウィンドウ(最初の連絡は72時間、完全な交渉は240時間)内に連絡を開始するよう指示します。
マルウェアは、カスタムロギングパス、ターゲットディレクトリオーバーライド、SIMDアルゴリズム選択、スレッド数、バックグラウンド実行、ミューテックス制御、身代金メモ抑制、自己削除、プロセス/サービス終了、ETWバイパス、およびイベントログクリアのオプションを含む、動作を調整するための14のコマンドラインフラグを公開します。
MakeAmericaGreatAgainという名前のミューテックスを介して単一インスタンス実行を強制し、前のインスタンスが見つかった場合、またはミューテックス処理が無効化されていない場合は終了します。
暗号化前に、Payloadはvssadminを使用してすべてのVSSシャドウコピーを削除し、ntdllのETWルーチンにログなしで即座に戻るようパッチを適用し、wevtapi APIを経由してそれらのコンテンツを削除するためにWindows Event Logチャネルを反復処理します。
その後、直接NT API(NtOpenFile、NtReadFile、NtWriteFile、NtSetInformationFile、その他)とIOCPベースのマルチスレッドを使用してファイルを並列で暗号化し、一方で広範なデータベース、バックアップ、セキュリティ、および生産性プロセスとサービスを終了して、ダメージを最大化し、復旧ツールを中断します。
翻訳元: https://gbhackers.com/ransomware-uses-chacha20-and-curve25519/
