Payouts Kingランサムウェアは、BlackBasta崩壊後に台頭した注目すべき脅威です。高度な難読化技術と直接システムコール(ダイレクトシスコール)を駆使し、エンドポイント検出・対応(EDR)ソリューションの検知を巧みに回避しています。
2026年初頭に観測された脅威活動は、過去のBlackBastaの手口と多くの共通点を持っています。特に、スパム爆撃とフィッシング・ビッシングの組み合わせはその典型です。
これらのキャンペーンでは、攻撃者はまず大量のスパムメールで標的を圧倒した後、Microsoft Teamsの通話を通じてIT担当者に成りすまします。
その後、被害者をQuick Assistの起動へ誘導してリモートアクセスを確立し、そこからランサムウェアのペイロードを展開して企業環境内に永続的な足がかりを築きます。
2025年4月に初めて観測されたPayouts Kingは、データ窃取を主軸としたランサムウェアグループです。検知リスクを抑えつつ最大限のダメージを与えるため、ファイルを選択的に暗号化します。
このマルウェアは、4,096ビットRSAとCTRモードのAES-256を組み合わせたハイブリッド暗号化モデルを採用しており、OpenSSLがバイナリに静的リンクされています。
対象となる各ファイルには固有の鍵とノンスが使用され、暗号化されたデータは暗号化パラメータを含むRSA保護済みのメタデータとともに追記されます。
Payouts Kingの大きな特徴は、静的・ふるまい型の防御機構を回避するための徹底した難読化にあります。スタック上での文字列の動的構築、ハッシュ値によるWindows API呼び出しの解決、ハードコード値の排除といった手法が用いられています。
Zscaler ThreatLabzの最新調査結果によると、このグループは2025年2月に内部チャットの漏洩によってインフラと運営実態が露呈し崩壊したBlackBastaの元アフィリエイトによって運営されているとみられます。
FNV1ハッシュとCRCベースの独自アルゴリズムを組み合わせており、ハッシュシードは文字列ごとに異なります。この手法は、リバースエンジニアリングを大幅に困難にし、アナリストが一般的に使用する事前計算ハッシュベースの検知機構を無効化します。
Payouts KingランサムウェアによるEDR回避
また、このランサムウェアはCRCチェックサムを用いてコマンドライン引数を難読化しています。特筆すべき点として、ファイル暗号化の実行には期待値と一致するチェックサムを持つ有効な「-i」パラメータが必要であり、これはサンドボックス対策として機能していると考えられます。このパラメータがなければ、マルウェアは休眠状態を維持し、自動解析環境での露出リスクを低減します。
| 関数名 | CRCチェックサム |
|---|---|
| ZwQueryInformationFile | 0x806e69a7 |
| ZwQueryInformationProcess | 0x1993a634 |
| ZwOpenProcess | 0x58ad11ee |
| ZwTerminateProcess | 0x469424d5 |
| ZwOpenFile | 0x28a29ebf |
| ZwQuerySystemInformation | 0xa0595508 |
永続化と権限昇格は、間接的なコマンド実行を通じて作成されたスケジュールタスクによって実現されています。システムユーティリティを直接呼び出す代わりに、Payouts KingはI/Oパイプをリダイレクトした状態でcmd.exeを起動し、プログラム的にschtasksコマンドを発行します。
SYSTEMへの権限昇格後、フォレンジック調査を妨害するためにスケジュールタスクの痕跡を削除し、より高い権限コンテキストで実行を継続するために元のプロセスを終了します。
さらなる検知回避策として、Payouts Kingはセキュリティツールの終了に従来のAPI呼び出しを使用しません。代わりに、実行時にエクスポートテーブルを解析してntdllからZw*関数を動的に解決します。
システムコール番号はソートされた関数アドレスから導出され、ZwTerminateProcessなどの対象APIの照合にはCRCチェックが使用されます。
この直接システムコール技術は、EDRソリューションが一般的に使用するユーザーモードフックを回避し、ランサムウェアがアンチウイルスや監視プロセスをひそかに終了することを可能にします。
ファイルの暗号化処理は速度と影響度が最適化されています。10MB未満のファイルは完全に暗号化される一方、それより大きなファイルはセグメント化されたブロック単位で部分的に暗号化され、通常は各ブロックの半分が暗号化されます。
この戦略により、大規模なデータセット全体での暗号化を高速化しつつ、ファイルを使用不能な状態に保ちます。また、身代金実行前にシステムが不安定化することを防ぐため、重要なシステムディレクトリやファイル種別はスキップされます。
その他のアンチフォレンジック手段としては、vssadminを用いたシャドウコピーの削除、EvtClearLogによるイベントログの消去、ごみ箱の空にする操作などが挙げられます。
興味深いことに、身代金要求メモはコマンドラインパラメータによって明示的にトリガーされた場合にのみ生成されます。これは、攻撃シナリオに応じた柔軟な展開設定が可能であることを示しています。
ZscalerはWin64.Ransom.PayoutsKingなどのシグネチャでこの脅威を検出しており、企業環境における同マルウェアの存在感の高まりが浮き彫りとなっています。
Payouts Kingの継続的な進化は、元ランサムウェアオペレーターが迅速に再編成して適応し、実績ある侵入手法を再利用しながらより高度な回避メカニズムを統合していることを示しています。
今回のキャンペーンは、多層防御の必要性を改めて浮き彫りにしています。正規のリモートツールの悪用監視、強固な認証制御の徹底、そして低レベルのシスコール乱用や異常なプロセスアクティビティを識別できるふるまい検知の導入が不可欠です。
侵害の痕跡(IOC)
| インジケーター | 説明 |
|---|---|
| 335ad12a950f885073acdfebb250c93fb28ca3f374bbba5189986d9234dcbff4 | Payouts Kingランサムウェアサンプル SHA256 |
| d68ce82e82801cd487f9cd2d24f7b30e353cafd0704dcdf0bb8f12822d4227c2 | Payouts Kingランサムウェアサンプル SHA256 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/payouts-king-ransomware-bypasses-edr/
