2026年2月のデビュー以来、新興のPayloadランサムウェアグループは複数大陸にわたる高価値組織を標的とし、急速にグローバルな存在感を確立しています。
WatchGuardのサイバー脅威監視チームは、同グループがTorネットワーク上に専用のリークサイトを開設し、侵害した被害者を公表していることを確認しています。
CYFIRMAが収集した情報によると、Payloadランサムウェアはアンダーグラウンドフォーラムに出現した後、エジプト、メキシコ、ポーランド、および中東全域の被害者を標的に積極的に活動を拡大しました。
脅威アクターは、特に物流、輸送、不動産、建設分野における混乱効果の高い機会主義的ターゲットに重点的に狙いを定めています。
BitsightなどのスレットインテリジェンスプラットフォームはシンガポールのRobinsons社を含む小売セクターへの最近の被害を記録しており、このキャンペーンの無差別かつ広範な性質を示しています。
FalconFeedsioのレポートでも、欧州や食品業界への標的拡大が示されており、オペレーターが国際的な強力な脅威としての地位を確立しようとしていることが伺えます。
この勢いにより、同グループは2026年3月までに50の侵害組織を公開リストに掲載し、重要なサプライチェーンに関わる企業に甚大な財務的圧力をかけています。
このマルウェアはPE32 Windows実行ファイルとして展開され、高度に洗練された暗号化パイプラインを使用して被害者のファイルを体系的に暗号化します。
GBHackersの研究者によると、バイナリのリバースエンジニアリングにより、完全に実装されたBabukスタイルの暗号化スキームが明らかになりました。
Payload実行ファイルはファイル暗号化にChaCha20を使用し、ファイルごとに新たに生成されるCurve25519楕円曲線ディフィー・ヘルマン鍵交換と組み合わせています。
実行中、マルウェアは一意の32バイトの被害者秘密鍵と12バイトのノンスを生成し、それらを使用して独立した鍵導出関数なしにChaCha20鍵として機能する共有シークレットを導出します。
RansomLookの脅威アナリストは、このプロセスで使用される埋め込みのマスターオペレーター公開鍵を分析し、X25519交換における厳密な32バイト長要件を確認しています。
ランサムウェアは1メガバイトのチャンクでファイルをロックしながら、変更されたファイル名に.payload拡張子を付加します。
このルーティンは、被害者の一時的な公開鍵とノンスを安全に格納するRC4暗号化された56バイトのフッターを各ファイルに添付して処理を完了し、攻撃者のみが最終的な復号鍵を算出できるようにします。
さらに、オペレーターは影響を受けたシステムディレクトリにRECOVER_payload.txtと題したカスタムの身代金要求メモを置き、非常に短い期限内での交渉を要求します。
Darkatlasの調査によると、Payloadランサムウェアはセキュリティツールを無効化し、インシデント対応活動を妨害することを目的とした積極的なアンチフォレンジック機能一式によって際立っています。
サイバーセキュリティ企業Proven Dataは、このランサムウェアがメモリ内のEvent Tracing for Windowsに積極的にパッチを当て、オフライン暗号化が開始される前にエンドポイント検出・対応ソリューションを事実上無効化すると報告しています。
この手法はシステムライブラリ内の重要な関数を改ざんしてイベントレコードを抑制し、暗号化プロセスが振る舞い監視ツールに検出されないようにします。
さらに、マルウェアは管理者コマンドを使用してすべてのボリュームシャドウコピーサービスのスナップショットを体系的に列挙・破壊し、オペレーティングシステムによる単純なデータ復旧の試みを永久に阻止します。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/payload-ransomware-hits-windows/
