Новый шифровальщик Payload атаковал полсотни компаний: группа использует гибридное шифрование и заметает следы

В отличие от многих молодых группировок, Payload не стала замыкаться на одном регионе. Жертвы обнаружены в Египте, Мексике, Польше и других странах, причём особенно заметна концентрация на Ближнем Востоке и в Северной Африке. Специалисты полагают, что такой разброс указывает на изначальную ориентацию на международные операции, а не на локальный промысел.

Среди наиболее часто поражаемых отраслей выделяются логистика и транспорт, что неудивительно: простой в этой сфере быстро приводит к финансовым потерям и срыву цепочек поставок. Примером служит компания A-Sonic Logistics Solutions - последняя на момент анализа жертва. Активно атакуются также строительные и девелоперские организации, особенно в Египте: они хранят чувствительные финансовые данные, контракты и проектную документацию. Кроме того, под удар попадают промышленные предприятия, IT-компании и фирмы из сферы профессиональных услуг. В целом группировка выбирает цели с высоким потенциалом сбоя, а не какую-то одну нишу.

Технический анализ образца вредоносной программы, проведённый экспертами, отчёт раскрывает детали архитектуры шифровальщика. Payload представляет собой 32-разрядный исполняемый файл для Windows, который использует симметричный алгоритм ChaCha20 в связке с протоколом Диффи-Хеллмана на эллиптических кривых Curve25519. Каждый файл шифруется отдельным сеансовым ключом: программа генерирует новый 32-байтовый закрытый ключ жертвы и 12-байтовое число одноразового использования (nonce), а затем через Curve25519 получает общий секрет, который напрямую становится ключом ChaCha20. После шифрования к имени файла добавляется расширение .payload, а в каждую папку записывается записка с требованием выкупа RECOVER_payload.txt. Информация для восстановления ключей также сохраняется в файле recovery.ini.

Зашифрованные данные выглядят так: сначала идёт зашифрованное содержимое исходного файла (разбитое на блоки по 1 Мбайт), а в конце - 56-байтовый "хвост", дополнительно зашифрованный алгоритмом RC4 с коротким ключом "FBI". Этот хвост содержит открытый ключ жертвы, nonce и метку "payload". Такое двойное шифрование усложняет анализ файлов без знания полной криптографической схемы.

Однако главная опасность Payload кроется не только в криптографии, но и в мощных анти-форензик-механизмах. Перед началом шифрования программа выполняет несколько деструктивных действий. Она с помощью встроенной утилиты vssadmin.exe безвозвратно удаляет все теневые копии томов (VSS), лишая жертву возможности восстановить данные из предыдущих версий. Затем очищаются все журналы событий Windows - Application, System, Security и другие - через загрузку библиотеки wevtapi.dll. Кроме того, программа отключает трассировку событий Windows (ETW) путём патча в памяти соответствующих функций в ntdll.dll: подменяет пролог на команду xor eax, eax; ret, что полностью подавляет генерацию событий в процессе. Это серьёзно затрудняет обнаружение атаки штатными средствами мониторинга.

Уже на этапе подготовки к шифрованию Payload завершает работу более чем трёх десятков процессов и служб. В списке - базы данных (SQL, Oracle), офисные приложения (Excel, Outlook, Word), почтовые клиенты (Thunderbird, The Bat!), программы резервного копирования (Veeam, Acronis, BackupExec), антивирусы (Sophos, Symantec, 360 Total Security) и даже игровой клиент Steam. Останавливая резервное копирование и средства защиты, злоумышленники лишают организацию возможности быстро реагировать и минимизируют шансы на срыв атаки.

Сама программа умеет работать в многопоточном режиме, используя порты завершения ввода-вывода (IOCP), что ускоряет шифрование на многоядерных системах. Поддерживаются инструкции AVX2 и SSE2 - если процессор их не поддерживает, используется скалярный вариант. Для предотвращения повторного запуска создаётся мьютекс с характерным именем "MakeAmericaGreatAgain".

Группировка Payload демонстрирует профессиональный подход к вымогательству: она не только эффективно наносит ущерб, но и тщательно скрывает следы, что делает её опасным игроком на рынке программ-вымогателей. Учитывая быстрый рост числа жертв и географическую экспансию, можно ожидать, что в ближайшее время количество атак будет только увеличиваться. Компаниям, особенно работающим в логистике, строительстве и промышленности, стоит пересмотреть свои стратегии защиты: регулярно тестировать резервные копии (желательно в офлайн-режиме), внедрять многофакторную аутентификацию и следить за появлением новых индикаторов компрометации. Однако главный урок этой истории - даже молодая группировка может располагать современными инструментами, поэтому полагаться только на традиционные средства защиты уже недостаточно.

Onion Domains

• payloadrz5yw227brtbvdqpnlhq3rdcdekdnn3rgucbcdeawq2v6vuyd.onion
• payloadynyvabjacbun4uwhmxc7yvdzorycslzmnleguxjn7glahsvqd.onion

MD5

• e0fd8ff6d39e4c11bdaf860c35fd8dc0

SHA1

• dde1b933aad33c5d96c2e45ad46434a200dc46a6

SHA256

• 1ca67af90400ee6cbbd42175293274a0f5dc05315096cb2e214e4bfe12ffb71f