Payouts Kingは、旧BlackBastaの関係者によって運営されていると考えられる技術的に高度なランサムウェア作戦として台頭しており、彼らのソーシャルエンジニアリングのプレイブックを再利用しながら、強化された難読化と暗号化ルーチンを導入しています。
このグループは高価値データ盗難と選別的な暗号化に焦点を当て、強力な暗号化と広範な回避を活用して、アンチウイルスおよびEDRツールから先を行く。
BlackBasta自体は、Contiに関連するオペレーターの進化形であり、2022年初頭に出現した後、急速にトップティアのランサムウェアブランドになりました。
内部チャットログの大規模流出がツール、交渉、およびアフィリエイトダイナミクスを露出させた後、その作戦は2025年初頭に崩壊し、中核グループは解散と公開インフラの放棄を余儀なくされました。
ブランドの消失にもかかわらず、特に初期アクセスブローカーであるそのアフィリエイトは引退しませんでした。代わりに、彼らは証明されたタクティクス、テクニック、および手順(TTP)を保持しながら、Cactusなどの他のRaaSプログラムにシフトしました。
2026年初頭から、Zscaler ThreatLabzは、そのインフラストラクチャ、フィッシング罠スタイル、および被害者ターゲティングパターンが、以前のBlackBasta関連キャンペーンと強く似ている新しいランサムウェア侵入の追跡を開始しました。
これらのインシデントの一部は、2025年4月に初めて観察され、過去1年間で着実に活動を増やしているPayouts Kingという名前の、あまり知られていないグループに高い信頼度で帰属しています。
ソーシャルエンジニアリングと初期アクセス
ThreatLabzは、Payouts Kingのオペレーターが、企業環境に侵入するためにスパムボミングを利用し、フィッシングおよびヴィッシングと組み合わせていることを報告しています。
被害者はジャンクメールであふれ、その後、内部ITになりすましている攻撃者から連絡を受け、Microsoft Teamsセッションに参加し、メールの問題を「解決する」ためにQuick Assistを起動するよう圧力をかけられます。
リモートアクセスが許可されると、脅威アクターはマルウェアを配置して足がかりを確立し、横方向に移動し、ランサムウェア実行を準備します。
これらのキャンペーンはBlackBastaプレイブックを反映しており、2024年から2025年にかけてエグゼクティブに対するTeamsベースのフィッシングおよびソーシャルエンジニアリングルアにピボットし、ブランドのシャットダウン後もそのモデルを改善し続けました。
Teams、Quick Assist、および激しい電話による圧力の特定の組み合わせを含むこれらのTTPの再利用は、Payouts Kingが初期アクセスブローカーの同じエコシステムによって運営されているという評価をサポートします。
技術面では、Payouts Kingは静的分析と署名ベースの検出を挫折させることを目的とした層状難読化で設計されています。
文字列はスタック上で構築・復号化され、Windows APIはプレーン名の代わりにハッシュで解決され、多くの機密識別子はFNV1ハッシュとしてのみまたはバイナリに組み込まれたカスタムCRCのようなチェックサムルーチンを介して表現されます。
各FNV1ハッシュ値は一意のシードを使用し、スケールでマッピングを逆にするための事前計算されたハッシュテーブルに依存するツールを弱体化させます。
コマンドライン引数は、ランサムウェアが実行時にどのように構成されるかの中心ですが、それ自体がカスタムCRC関数の後ろに隠されています。
ThreatLabzは元のパラメーターを復旧し、バックアップ使用を制御するスイッチ(-backup)、昇格(-noelevate)、ステルスオプション(-nohide、-nopersist)、ターゲティング(-path、-mode、-percent)、タイミング(-time)、ログ(-log)、身代金メモ作成(-note)、および暗号化が発生する前に予想されるチェックサムと一致する必要があるアイデンティティフラグ(-i)を公開しました。これはおそらくアンチサンドボックス保護です。
暗号化ワークフローとEDR回避
Payouts Kingは、4,096ビットRSAと256ビットAES in counter(CTR)モードを組み合わせたハイブリッドスキームを使用し、静的にリンクされたOpenSSLライブラリを介して実装されています。
各ファイルは独自の疑似ランダムAESキーとIVで暗号化され、暗号化されたデータが最初に保存され、マジックバイト、アルゴリズムID(AESまたはChaCha20)、元のサイズと暗号化されたサイズ、ファイル単位のキーとIV、およびランダムパディングを含むRSA保護ヘッダーが最後に追加されます。
ランサムウェアは影響とスピードのバランスを取るために選別的に暗号化します:小さいファイルと特定の「高価値」拡張子の完全な暗号化。大きいファイルの場合、部分的なブロックベースの暗号化で、データを13のブロックに分割し、大量の操作を加速するために各ブロックの半分のみを暗号化します。
-percentの引数は、これらのブロックで各ファイルがどれだけ暗号化されるかをさらに調整できます。回復力のために、オプションの-backupモードは、一時ファイル内の各暗号化されたブロックの進捗追跡ヘッダーを維持し、マルウェアが中断後に再開できるようにします。
防御プロセスは積極的にターゲットにされています。ファイルアクセスが共有違反によって失敗すると、Payouts Kingは実行中のプロセスを列挙し、それらの名前をハッシュし、100以上のチェックサムの内部リストと比較します。そのうちの多くはアンチウイルスおよびEDR製品に関連付けられています。
設計上、Payouts Kingは、主要なシステムおよび構成ファイル、コアOSディレクトリ、および特定の実行可能またはインストーラー拡張子の暗号化を回避して、危険にさらされたシステムをブート可能にし、身代金による影響を最大化します。
暗号化後、ファイルは一般的なMoveFile APIではなく、SetFileInformationByHandleをFileRenameInfoで使用してリネームされます。これはランサムウェアのようなリネームパターンを監視するEDRルールをかわすための別の微妙な選択です。
防御者にとって、これらのキャンペーンはいくつかの優先事項を強化します。組織は、スパムボミング、ヴィッシング、および偽の内部ITアウトリーチに関するユーザー認識を強化し、Quick Assistの起動要求またはリクエストされていないリモートサポートセッションの受け入れに対して厳格な検証を実施する必要があります。
Microsoft 365およびTeams構成の強化、可能な限りQuick Assistの無効化または制限、多要素認証の実施、およびスケジュール済みタスクとntdllによるダイレクトシステムコール使用の密接な監視は、初期検出を改善できます。
Payouts Kingが既知のBlackBastaタクティクスのリブランディングと進化を表しているため、特定のIOCだけでなく、これらの行動に対する積極的な脅威ハンティングは、旧アフィリエイトが次の身代金を追い求め続けるにつれて重要になります。
侵害指標(IOC)
| 指標 | 説明 |
|---|---|
| 335ad12a950f885073acdfebb250c93fb28ca3f374bbba5189986d9234dcbff4 | Payouts Kingランサムウェアサンプル SHA256 |
| d68ce82e82801cd487f9cd2d24f7b30e353cafd0704dcdf0bb8f12822d4227c2 | Payouts Kingランサムウェアサンプル SHA256 |
翻訳元: https://gbhackers.com/payouts-king-emerges/
