2022年2月、BlackBasataランサムウェアグループは、Contiランサムウェア作戦の極めて活動的な後継者として登場しました。
グループは3年間で数百の組織を標的にすることに成功しましたが、2025年2月の大規模な内部チャットログ漏洩により、彼らの内部構造が明らかになりました。
この重大な露出により、サイバー犯罪者は解散し、主要な業務を閉鎖することになりました。ただし、これらの攻撃を支えたイニシャルアクセスブローカーは、Cactusなどの他のランサムウェアファミリーを展開することで、焦点をシフトさせました。
2026年初頭、セキュリティ研究者は、元BlackBastaアフィリエイトの戦術と密接に一致する戦術を使用した新しい攻撃を観察しました。これらの最新の侵入は、Payouts Kingという名前で活動する、比較的未知だが非常に有能なランサムウェアグループに確実に関連付けられています。
Payouts Kingは社会工学的な戦略に依存しており、特にスパム爆撃とフィッシング、音声フィッシング(vishing)の組み合わせを使用しています。
脅威行為者は被害者のメールボックスをスパムで満たし、IT支援スタッフになりすまして彼らに電話をかけます。攻撃者は被害者にMicrosoft Teamsミーティングに参加し、Quick Assistを開くように指示し、これにより、ハッカーは企業ネットワークへの初期のリモートアクセスを取得します。
内部に入ると、マルウェアは洗練された難読化を使用して、セキュリティソフトウェアからその活動を隠します。
メモリ内に動的に文字列を構築し、カスタムCRCチェックサムアルゴリズムと共に、一意のシードを持つFNV1ハッシュを使用し、事前計算されたハッシュテーブルに依存する分析ツールを効果的に無効化します。
ランサムウェアは、その動作を指定する大幅に難読化されたコマンドライン引数によって制御されます。自動サンドボックス分析を回避するために、マルウェアは実行するための特定の身元確認パラメータが必要です。
その他のコマンドラインオプションにより、攻撃者は権限昇格を無効にし、実行ウィンドウを隠し、ターゲットパスを指定するか、ファイルの暗号化される割合を指定できます。
攻撃者が積極的に永続性をオフにしない場合、Payouts Kingはシステムユーザーのスケジュール済みタスクを作成して、その足がかりを維持します。
データ破壊のため、Payouts Kingは4,096ビットRSAと256ビットAES暗号化の強力な組み合わせを採用しています。マルウェアはファイルサイズとタイプに基づいて暗号化戦略を決定します。
10メガバイト未満のファイルまたは特定の拡張子を持つファイルは、ダメージを最大化するために完全に暗号化されます。大きなファイルへの攻撃を迅速化するために、ランサムウェアはそれらを13個のブロックに分割し、各ブロックの半分だけを暗号化します。
このルーチン中に、プロセスが中断された場合にデータが誤って破損するのを防ぐために、「.esVnyj」拡張子を持つ一時的なバックアップファイルを作成します。
その後、マルウェアはデスクトップに「readme_locker.txt」という名前の身代金メモを落とし、Windowsシャドウコピーを削除し、イベントログをクリアして、回復とフォレンジック調査を大きく妨害します。
この進化した脅威から身を守るには、多層防御戦略が必要です。
組織は、偽のテック サポート詐欺を発見するための従業員トレーニングを優先し、多要素認証を普遍的に実装し、Quick Assistのようなリモートアクセスツールの使用を密接に監視する必要があります。
翻訳元: https://cyberpress.org/payouts-king-ransomware-emerges/
