Payloadと呼ばれる新しいランサムウェア組織がエンタープライズ環境を標的にしており、流出したBabukランサムウェアのソースコードに類似した暗号化技術を使用しています。このグループは少なくとも2026年2月17日から活動しており、すでに複数の被害者をTorリークサイトに記載しています。
3月15日、攻撃者たちはロイヤルバーレーン病院の侵害の責任を主張しました。3月23日までに身代金が支払われなければ、盗まれた110GBのデータが公開されると述べた通知を発表しました。同病院はリークポータルに記載された12の組織の1つです。
これらの被害者全体にわたって、このグループは7か国の組織から2.6TB以上のデータを流出させたと主張しています。
影響を受けた組織はヘルスケア、通信、エネルギー、不動産、農業などのセクターに及んでおり、ほとんどの被害者は新興市場にあります。
このグループは典型的な二重恐喝モデルを運営しています:攻撃者がデータを盗み、システムを暗号化し、身代金が支払われないと公開すると脅します。
Payloadランサムウェアを分析した研究者たちはそのWindowsバイナリを完全にリバースエンジニアリングしました。マルウェアはファイルをロックするために鍵交換用のCurve25519と組み合わせたChaCha20暗号化を使用しています。
分析によれば、各ファイルはランダムデータを使用して生成されたユニークな暗号化キーを受け取ります。
マルウェアはファイルごとのCurve25519鍵ペアを生成し、攻撃者の公開鍵を使用して共有秘密を計算します。
その秘密はChaCha20暗号化キーとして直接使用されます。2GBより大きいファイルは攻撃プロセスを高速化するためにのみ部分的に暗号化されます。
Payloadはエンタープライズサーバーと仮想化プラットフォームを標的にすることができるようにするWindowsおよびLinux/ESXi環境用の個別バイナリを含みます。
2026年2月17日にコンパイルされたWindowsバージョンは約395KBで、広範なアンチフォレンジックス機能を含みます。
これらはWindowsイベントログをワイプすること、セキュリティ監視を回避するためのETWトレーシング関数のパッチング、シャドウコピーの削除、およびバックアップまたはセキュリティツールに関連するサービスの停止を含みます。
わずか40KBのLinuxバージョンは主にVMware ESXi環境に焦点を当てています。VMware設定ファイルをスキャンして仮想マシンディスクイメージを検出し、それらを直接暗号化します。
被害者は身代金メモを受け取り、支払いが手配されるTor交渉ポータルに誘導されます。攻撃者は被害者が復号化キーを制御していることの証拠として、最大3つの小さなファイルを無料で復号化することを許可しています。
翻訳元: https://cyberpress.org/payload-hits-windows-esxi/