Новая угроза Payouts King: наследники BlackBasta продолжают атаки с помощью изощрённого шифровальщика

Payouts King представляет собой сложную программу-вымогатель, которая не только шифрует файлы, но и ворует большие объёмы данных, применяя селективное шифрование. Группа использует проверенные методы социальной инженерии, такие как спам-бомбардировка в сочетании с фишингом и вишингом (голосовым фишингом). Типичный сценарий атаки выглядит так: злоумышленники отправляют целевой жертве массу спам-писем, а затем, представляясь сотрудниками ИТ-отдела её же организации, просят присоединиться к звонку в Microsoft Teams и запустить утилиту Quick Assist для удалённой помощи. Если сотрудник попадается на удочку, на его систему загружается вредоносное ПО, обеспечивающее злоумышленникам точку опоры в корпоративной сети.

Одной из отличительных черт Payouts King является комплексный подход к обфускации и уклонению от обнаружения. Вредонос использует несколько распространённых, но эффективных методов: построение и расшифровку строк непосредственно в стеке, импорт и разрешение функций Windows API по их хеш-значениям вместо имён, а также хеширование важных строк. Для этого применяется комбинация алгоритмов FNV1 и собственной уникальной контрольной суммы CRC32 с полиномом 0xBDC65592. Интересно, что при использовании хешей FNV1 начальное значение (seed) уникально для каждого обфусцированного значения, что затрудняет работу инструментов, использующих заранее вычисленные таблицы хешей для быстрого восстановления оригинальных строк. Кроме того, значительная часть строк скрыта с помощью массивов QWORD в стеке, которые используются для построения зашифрованных строк и соответствующих XOR-ключей для их дешифровки.

Функциональность Payouts King управляется через командную строку, параметры которой также обфусцированы с помощью собственного алгоритма CRC. Среди ключевых опций - указание режима шифрования (все файлы, локальные диски или сетевые ресурсы), пути для начала шифрования, процента содержимого файла для шифрования и задержки перед началом процесса. По умолчанию программа-вымогатель не начнёт шифрование, пока не получит параметр "-i" с корректным значением, что, вероятно, является техникой уклонения от песочниц (антивирусных сред динамического анализа). Для закрепления в системе (persistence) и повышения привилегий Payouts King использует планировщик заданий Windows (Task Scheduler), создавая задачи с именами, маскирующимися под обновления Mozilla, и запуская их от имени системного пользователя (SYSTEM). При этом для взаимодействия с "cmd.exe" вредонос использует каналы (pipes), что позволяет скрытно исполнять команды.

Сердце угрозы - механизм шифрования, использующий гибридный подход: комбинацию алгоритмов RSA с ключом длиной 4096 бит и AES-256 в режиме счетчика (CTR). Каждый файл шифруется с помощью псевдослучайного ключа и вектора инициализации (IV). Интересной особенностью является селективное шифрование: если расширение файла входит в целевой список (включающий, например, документы, архивы, базы данных) или его размер менее 10 МБ, шифруется всё содержимое. Крупные файлы делятся на 13 блоков, и шифруется только часть каждого блока, что является оптимизацией для ускорения процесса. При попытке открыть файл, заблокированный другим процессом (ошибка "ERROR_SHARING_VIOLATION"), Payouts King предпринимает агрессивные действия: перечисляет запущенные процессы, вычисляет для их имён контрольные суммы и сравнивает их со списком из 131 жёстко заданного значения. Многие из этих значений соответствуют процессам антивирусов и систем класса EDR (Endpoint Detection and Response - обнаружение и реагирование на конечных точках). При совпадении вредонос пытается завершить процесс-конкурент, но делает это не через стандартные API Windows, а с помощью прямых системных вызовов (direct syscalls), что позволяет обходить хуки систем безопасности.

Перед началом шифрования Payouts King предпринимает шаги по уничтожению следов и возможностей восстановления: удаляет теневые копии томов (Volume Shadow Copy) с помощью "vssadmin", очищает корзину и стирает журналы событий Windows. Шифруемый файл переименовывается с добавлением специфического расширения, причём для этого используется менее распространённый API "SetFileInformationByHandle", что, вероятно, является попыткой обойти мониторинг вызовов стандартных функций перемещения файлов. Выкупная записка создаётся только при явном указании параметра "-note" и содержит инструкции по связи через мессенджер TOX и ссылку на сайт группы в сети Tor, где угрожают публикацией похищенных данных.

Появление Payouts King, движимого бывшими аффилированными лицами BlackBasta, наглядно демонстрирует устойчивость и адаптивность экосистемы программ-вымогателей. Угроза развивается, наследуя эффективные тактики и совершенствуя техническое исполнение. Борьба с такими группами требует от организаций комплексной стратегии защиты, включающей не только технические меры вроде строгого контроля за использованием удалённого доступа и многофакторной аутентификации, но и постоянное обучение сотрудников распознаванию социальной инженерии. Успех Payouts King - это очередное напоминание о том, что киберпреступники не стоят на месте в погоне за прибылью, а значит, и защита должна быть активной, многослойной и постоянно эволюционирующей.

SHA256

• 335ad12a950f885073acdfebb250c93fb28ca3f374bbba5189986d9234dcbff4
• d68ce82e82801cd487f9cd2d24f7b30e353cafd0704dcdf0bb8f12822d4227c2