Payloadという新しいランサムウェア集団がWindowsおよびVMware ESXi環境に対する深刻な脅威として急速に現れており、Babuk形式の暗号化、積極的なアンチフォレンジクス、および機能的なダブルエクストーション手法を組み合わせている。
このグループは2026年2月17日以来、少なくとも活動していると主張している。既に複数のセクターと国にわたる中堅から大規模な組織を標的にしている。
この病院は7つの国にわたる他の11の被害者に加わり、不動産、エネルギー、医療、通信、および農業部門から盗まれたとされる合計2,603 GBのデータが、主に新興市場の組織から窃取されている。
3月15日、Payloadグループはロイヤルバーレーン病院をTorリークサイトに掲載し、110 GBの機密データを流出させたと主張し、3月23日のランサム支払い期限を設定した。
攻撃は現在標準的となったダブルエクストーション手法に従っており、データ盗難、ファイル暗号化、および専用リークブログを介した公開での非難が含まれている。
Payloadランサムウェア
Windowsバイナリのリバースエンジニアリングは、完全で適切に実装されたBabuk形式の暗号化スキームを明らかにしている。
Payloadはキー交換にCurve25519 ECDH(curve25519-donna)を、ファイル暗号化にChaCha20を使用し、ファイルごとのキーペアとノンスはCryptGenRandomで生成され、各ファイル処理後メモリから安全に削除される。
オペレータの公開鍵から派生した共有秘密がChaCha20キーとして直接使用され、弱化されたパラメータ、ロジックバグ、または埋め込まれたリカバリキーの証拠はなく、オペレータのプライベートCurve25519キーなしでは、暗号化されたデータは実質的に回復不可能である。
独特な特徴は、各暗号化ファイルに追加される56バイトのフッターで、3バイトキーの「FBI」によるRC4でのみ保護されている。
確認されていることは、デュアルプラットフォーム機能を備えていることである:MSVCでコンパイルされた大規模で機能豊富なWindows PEと、vmInventoryパースとスレッド化されたVM暗号化を介してVMware ESXiホストを標的とする小型のストリップされたELFである。
このキーはメモリ内でChaCha20シグマ定数に隣接して出現し、Windowsビルドでは「expand 32-byte kFBI」、Linux/ESXiビルドでは「FBIthread-pool-%d」などの構成要素を形成し、検出のための強い署名を提供するが、実際的な暗号化の弱さはない。
デュアルプラットフォーム ロッカー:WindowsおよびESXi
セキュリティテレメトリは、多くのエンジンが現在Payloadをバブーク(Babuk)と誤ってラベル付けしていることを示しており、ファミリー間の大量のコード再利用と構造的な類似性を反映している。
しかし、Payloadの背後にある完全なランサムウェア・アズ・ア・サービス(RaaS)エコシステム、例えばアフィリエイトパネルや共有ビルダーの公開証拠はこれまでのところなく、RaaSブランディングは未証明のままである。
Windowsでは、Payloadは完全にオフラインで動作し、ローカルドライブとネットワークドライブをスキャンし、ファイルを.payload拡張子で名前変更し、バックアップおよびセキュリティツールを終了し、シャドウコピーを削除し、EDRを盲目化するためにETW関数にパッチを当てながら、オプションでWindows イベントログをワイプする。
バイナリはNTFS代替データストリームトリックを介して自身を削除し、「MakeAmericaGreatAgain」という名前のミューテックスを使用し、明確なオペレータフィンガープリントを強調している。
バイナリ内に埋め込まれ、RC4で暗号化されたランサムノートは、被害者に対して一意の認証情報を使用してTorベースの交渉ポータルにアクセスするよう指示し、機能の証拠として限定的な無料復号化を提供している。
別のTorリークサイトはファイルツリーおよび完全なデータダンプをカウントダウンタイマー上でホストし、両方のサイトが2026年3月中旬現在到達可能であることが確認されている。
医療などのセクターでは、強力なBabuk形式の暗号化、ESXiハイパーバイザー標的化、および信頼できるリーク脅威の組み合わせは、ビジネスおよび安全性への影響を大幅に増加させ、Payloadをディフェンダーが監視し、Windowsおよび仮想化インフラストラクチャ全体で追跡する優先的な脅威にしている。
翻訳元: https://gbhackers.com/payload-ransomware/
