В сфере киберугроз появилась новая высокотехнологичная группа, атаки которой демонстрируют не только агрессивный бизнес-подход, но и профессиональное техническое исполнение. Группировка, использующая программы-вымогатели Payload, заявила о взломе Royal Bahrain Hospital, опубликовав на своей скрытой странице в сети Tor 110 ГБ якобы похищенных данных и установив ультиматум до 23 марта. Этот инцидент стал частью более масштабной кампании, в рамках которой, по заявлениям злоумышленников, было скомпрометировано 12 организаций в семи странах, а общий объем эксфильтрованных данных превысил 2.6 ТБ. Целями становятся средние и крупные компании из секторов недвижимости, энергетики, здравоохранения, телекоммуникаций и сельского хозяйства, преимущественно в развивающихся странах. Активность Payload отслеживается как минимум с 17 февраля 2026 года, причем первая жертва появилась на сайте утечек уже через несколько часов после компиляции вредоносного файла для Windows.
Описание
Глубокий технический анализ бинарного файла выявил сложную и технически безупречную реализацию. Шифрование построено на комбинации алгоритма обмена ключами Curve25519 и симметричного шифра ChaCha20. Что критически важно, приватные ключи, генерируемые для каждого файла, безопасно стираются из оперативной памяти сразу после завершения шифрования, что делает восстановление данных без главного приватного ключа оператора теоретически невозможным. В коде не обнаружено бэкдоров, ошибок реализации или криптографических уязвимостей, которые могли бы упростить дешифровку. Это указывает на высокий уровень компетенции разработчиков и ставит классические реагирующие меры в зависимость от наличия качественных резервных копий.
Однако в ходе анализа обнаружилась любопытная деталь, которая может служить эффективным индикатором компрометации. Каждый зашифрованный файл получает 56-байтовый «подвал», который дополнительно шифруется алгоритмом RC4 с использованием всего трехбайтового ключа: «FBI». В бинарном файле эта константа располагается непосредственно рядом со стандартной константой алгоритма ChaCha20, формируя в памяти подряд идущую строку «expand 32-byte kFBI». Аналогичный артефакт, «FBIthread-pool-%d», присутствует и в версии для Linux. Эти строки не являются модифицированными криптографическими константами, а представляют собой случайное соседство данных в памяти, но формируют уникальную сигнатуру для систем обнаружения вторжений (IDS) и антивирусных решений.
Семнадцать движков на платформе VirusTotal детектируют этот бинарник как вариант программы-вымогателя Babuk. Схема шифрования, списки процессов для завершения и структура файла соответствуют утекшему в сентябре 2021 года конструктору Babuk. Некоторые источники характеризуют Payload как «программу-вымогатель как услугу» (ransomware-as-a-service, RaaS), однако публичных доказательств существования партнерской программы или веб-панели для аффилиатов не обнаружено, поэтому данная классификация требует верификации. Подтвержденными же фактами являются кроссплатформенность (поддержка Windows и ESXi), работающая модель двойного шантажа с угрозой публикации данных и наличие мьютекса с провокационным названием MakeAmericaGreatAgain.
С точки зрения функционала, Payload представляет собой офлайн-программу-вымогатель, не требующую связи с командным центром (C2). После запуска она шифрует локальные и сетевые диски, добавляет к файлам расширение ".payload", оставляет записку с требованиями выкупа и удаляет свой исполняемый файл. Для повышения эффективности программа останавливает сервисы резервного копирования и безопасности, завершает процессы, блокирующие доступ к файлам, и удаляет теневые копии Volume Shadow Copy. Дополнительно, при использовании соответствующего флага, она может полностью очищать журналы событий Windows и патчить механизм Event Tracing for Windows (ETW), что ослепляет многие системы класса EDR (Endpoint Detection and Response), полагающиеся на эту телеметрию.
Записка о выкупе направляет жертв на скрытый сервис Tor для переговоров, используя уникальные для каждой жертвы учетные данные. Отдельный блог в сети Tor публикует похищенные данные по обратному таймеру. Важно, что в записке не указываются криптовалютные кошельки, а все платежные операции ведутся исключительно через портал, что усложняет отслеживание финансовых потоков. Как [сообщают] исследователи, оба сайта были активны на момент 15 марта 2026 года.
В арсенале вредоносной программы также присутствуют продвинутые анти-форензикные техники. Помимо очистки журналов событий, программа может патчить четыре ключевые функции ETW в библиотеке ntdll.dll, заставляя их всегда возвращать статус успеха, что эффективно подавляет всю трассировку на уровне процесса. Для самоудаления используется хитрая техника с альтернативными потоками данных NTFS: программа переименовывает свой основной поток "$DATA" в поток с именем ":payload", что снимает блокировку файла операционной системой и позволяет удалить его без создания дочерних процессов.
Списки процессов и сервисов для остановки тщательно подобраны и включают 34 сервиса (включая решения для резервного копирования от Veeam, Acronis, антивирусы Sophos, а также сервисы QuickBooks) и 31 процесс (среди них процессы СУБД, Microsoft Office, почтовые клиенты и браузеры). Это стандартная, но эффективная тактика для нейтрализации средств защиты и блокировки файлов. Linux-вариант, предназначенный для атак на гипервизоры VMware ESXi, значительно легче (40 КБ против 395 КБ у Windows-версии) и функционально проще. Его ключевая особенность - использование библиотеки libxml2 для парсинга файла инвентаризации виртуальных машин "/etc/vmware/hostd/vmInventory.xml" с целью целенаправленного шифрования дисков ВМ. При этом ядро криптографии, включая артефакт с ключом «FBI», остается идентичным.
Для специалистов по информационной безопасности данный инцидент и анализ кода Payload служат четким напоминанием о критической важности базовых, но часто недооцениваемых мер защиты. Несмотря на техническую сложность, эффективность атаки напрямую зависит от возможности злоумышленников удалить резервные копии и теневые копии. Поэтому приоритетами должны оставаться: изолированное и защищенное от несанкционированного удаления хранение резервных копий, строгое сегментирование сети для ограничения lateral movement, применение решений EDR, не полагающихся исключительно на ETW, и регулярное обучение сотрудников. Обнаруженные же артефакты, такие как строки «FBI» или мьютекс MakeAmericaGreatAgain, должны быть немедленно добавлены в правила корреляции SIEM-систем и сигнатуры средств защиты конечных точек для оперативного выявления подобных угроз.
Индикаторы компрометации
Onion Domains
- payloadrz5yw227brtbvdqpnlhq3rdcdekdnn3rgucbcdeawq2v6vuyd.onion
- payloadynyvabjacbun4uwhmxc7yvdzorycslzmnleguxjn7glahsvqd.onion
MD5
- 51da4b9aa541a6fc636a97d44ee265b4
- e0fd8ff6d39e4c11bdaf860c35fd8dc0
- f91cbdd91e2daab31b715ce3501f5ea0
SHA256
- 1ca67af90400ee6cbbd42175293274a0f5dc05315096cb2e214e4bfe12ffb71f
- bed8d1752a12e5681412efbb8283910857f7c5c431c2d73f9bbc5b379047a316
Mutex
- MakeAmericaGreatAgain
