RadioCSIRT Deutsche Ausgabe – neue Ransomware-Gruppe unter dem Namen Payload (Ep.74)

Seit Februar 2026 führt eine neue Ransomware-Gruppe unter dem
Namen Payload aktive Double-Extortion-Kampagnen gegen
Organisationen aus verschiedenen Sektoren und Regionen durch. In
weniger als zwei Monaten beobachteter Aktivität hat die Gruppe
sechsundzwanzig Opfer in sieben Ländern gemeldet, 2.603 Gigabyte
exfiltrierter Daten deklariert und ein technisches Niveau
demonstriert, das sie weit über opportunistische
Ransomware-Operationen hinaushebt. Die Kombination aus
ESXi-spezifischer Verschlüsselungslogik, ETW-Patching und einer
von Beginn an voll funktionsfähigen Tor-basierten Infrastruktur
deutet entweder auf erfahrene Betreiber oder auf Zugang zu einem
ausgereiften Toolkit hin.


Payload betreibt zwei verschiedene Binärdateien, die ein
gemeinsames kryptographisches Schema verwenden: Curve25519 ECDH
kombiniert mit ChaCha20 für die Schlüsselgenerierung pro Datei.
Die ESXi-Variante ist eine Linux-ELF64-Binärdatei von etwa 39.904
Bytes. Strings sind RC4-verschleiert mit dem Drei-Byte-Schlüssel
FBI. Vor jeder Verschlüsselungsaktivität führt die Binärdatei
eine Anti-Debug-Prüfung über /proc/self/status durch und
analysiert dann VMwares vmInventory.xml, um alle Datastores und
VMDK-Pfade zu enumerieren. Virtuelle Maschinen werden über
vim-cmd ausgeschaltet, bevor die Verschlüsselung beginnt.
Thread-Pool-Worker tragen den Namen FBIthread-pool — ein
forensisches Artefakt, das in der Standardprozessauflistung
sichtbar ist. Die Lösegeldforderung ersetzt die
ESXi-Webverwaltungsschnittstelle unter
/usr/lib/vmware/hostd/docroot/ui/welcome.txt.



Die Windows-Variante, kompiliert am 17. Februar 2026, leitet sich
aus der Babuk-Codebasis ab, die im September 2021 geleakt wurde,
wobei HC-128 durch ChaCha20 ersetzt und erhebliche
Anti-Forensik-Ergänzungen vorgenommen wurden. Zu den wichtigsten
Fähigkeiten gehört das ETW-Patching von vier ntdll.dll-Funktionen
— EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer und
EtwRegister — wodurch EDR-Lösungen, die auf ETW-Telemetrie
angewiesen sind, lautlos geblendet werden. Der Mutex
MakeAmericaGreatAgain ist ein zuverlässiger
Betreiber-Fingerabdruck. Die Binärdatei beendet vierunddreißig
Dienste, darunter Veeam, Acronis, BackupExec, Symantec und
Sophos, löscht Windows-Ereignisprotokolle, entfernt
Schattenkopien und löscht sich selbst über einen NTFS Alternate
Data Stream, ohne einen Child-Prozess zu erzeugen.



Zur Erkennung: Einsatz der von Abdullah Islam veröffentlichten
YARA-Regel für die ESXi-Variante. Überwachung auf den Mutex
MakeAmericaGreatAgain, die Erweiterung .payload und
ETW-Funktionspatches in ntdll.dll. Jeder EDR-Stack, der
ausschließlich auf ETW-basierter Telemetrie beruht, sollte
umgehend überprüft werden. ESXi-Management-Schnittstellen müssen
hinter einem dedizierten Management-VLAN betrieben werden.
Unveränderlicher oder air-gapped Backup-Speicher bleibt der
einzig zuverlässige Wiederherstellungspfad, wenn die
Verschlüsselung vor der Erkennung abgeschlossen wird.


Quellen


GBHackers – Payload ransomware hits Windows and ESXi with
Babuk-style encryption :
https://gbhackers.com/payload-ransomware/

CyberSecurityNews – New Payload ransomware uses Babuk-style
encryption against Windows and ESXi systems :
https://cybersecuritynews.com/new-payload-ransomware-uses-babuk-style-encryption/

CyberPress – Payload hits Windows and ESXi :
https://cyberpress.org/payload-hits-windows-esxi/



Nicht nachdenken, patchen!


Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher
Newsletter:https://radiocsirtgermanedition.substack.com/