Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Payload é uma família de ransomware para Windows que criptografa arquivos com ChaCha20 e usa uma troca ECDH Curve25519 por arquivo, depois acrescenta a .payload extensão aos dados impactados. O malware solta uma RECOVER_payload.txt nota de resgate, cria seu próprio arquivo de log e aplica várias medidas antiforenses, incluindo patching de ETW, exclusão de cópias de sombra do VSS, limpeza de logs de eventos e encerramento de processos e serviços selecionados. Visto pela primeira vez em fevereiro de 2026, o grupo expandiu rapidamente sua base de vítimas por vários continentes, com foco notável em organizações de logística, imóveis e manufatura. Os operadores também confiam em sites cebolas Tor para comunicação com as vítimas e publicação de vazamento de dados.
Investigação
A análise explica o fluxo de trabalho criptográfico do ransomware, incluindo a criação de uma nova chave privada de 32 bytes da vítima, derivação de um segredo compartilhado através do Curve25519, e uso direto desse segredo compartilhado como a chave de criptografia ChaCha20. A criptografia de arquivos é realizada através de Portas de Conclusão de I/O e finaliza com um rodapé RC4-encriptado de 56 bytes que contém a chave pública da vítima e um FBI marcador constante. Seu comportamento antiforense inclui patching de ETW na memória, exclusão de cópias de sombra via vssadmin, e remoção de Logs de Eventos do Windows. Pesquisadores também encontraram uma lista de eliminação pré-definida de processos e serviços que o ransomware pára antes de iniciar a criptografia.
Mitigação
Os defensores devem monitorar a presença do mutex MakeAmericaGreatAgain , arquivos recém-criados, e a presença da .payload nota de resgate. Restringir a execução de RECOVER_payload.txt e bloquear endereços cebola Tor conhecidos associados ao grupo pode reduzir a eficácia de seus métodos antiforenses e de comunicação. Proteções de endpoint também devem detectar patching de ETW, atividade suspeita de I/O de arquivo NT API, e desligamento forçado de serviços importantes. Manter backups offline regulares e limitar a dependência de cópias de sombra pode reduzir ainda mais o impacto nos negócios. e bloquear endereços cebola Tor conhecidos associados ao grupo pode reduzir a eficácia de seus métodos antiforenses e de comunicação. Proteções de endpoint também devem detectar patching de ETW, atividade suspeita de I/O de arquivo NT API, e desligamento forçado de serviços importantes. Manter backups offline regulares e limitar a dependência de cópias de sombra pode reduzir ainda mais o impacto nos negócios. and blocking known Tor onion addresses associated with the group can reduce the effectiveness of its anti-forensic and communication methods. Endpoint protections should also detect ETW patching, suspicious NT API file I/O activity, and forced termination of important services. Maintaining regular offline backups and limiting dependence on shadow copies can further reduce business impact.
Resposta
Se o ransomware Payload for detectado, isole imediatamente o host afetado da rede, preserve a memória volátil e colete logs relevantes para análise. Investigadores devem identificar e encerrar qualquer processo malicioso remanescente, depois priorizar a restauração a partir de backups limpos verificados. Se backups não estiverem disponíveis, esforços de recuperação podem usar as chaves de descriptografia fornecidas juntamente com o rodapé RC4 embutido para tentar a restauração de arquivos. Indicadores relevantes devem ser compartilhados com equipes de inteligência de ameaças, e a infraestrutura cebola Tor associada e quaisquer ativos de comando-e-controle vinculados devem ser bloqueados.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["<b>Ação</b> – <b>T1059 Execução de Linha de Comando</b>: Ransomware lançado com argumentos de linha de comando controlando log, seleção de algoritmo de criptografia, contagem de threads, modo em segundo plano, gerenciamento de mutex, geração de nota de resgate, término de processos/serviços, bypass de ETW e limpeza de logs de eventos."] class action_initial_execution action op_and1(("AND")) class op_and1 operator tech_T1059["<b>Técnica</b> – T1059: Interface de Linha de Comando. Executa programas via argumentos de linha de comando."] class tech_T1059 technique tech_T1027["<b>Técnica</b> – T1027: Arquivos ou Informações Ofuscadas. Usa codificação doubleu2011Base64, rodapé RC4u2011encriptado, e resolução dinâmica de APIs NT para evitar detecção estática."] class tech_T1027 technique tech_T1490["<b>Técnica</b> – T1490: Inibir Recuperação do Sistema. Exclui todas as capturas instantâneas de Cópia de Volume de Sombra via vssadmin.exe."] class tech_T1490 technique tech_T1070_001["<b>Técnica</b> – T1070.001: Limpar Logs de Eventos do Windows. Utiliza wevtapi.dll para limpar todos os canais de log de eventos."] class tech_T1070_001 technique tech_T1070["<b>Técnica</b> – T1070: Remoção de Indicador no Host (Bypass ETW). Patches das funções ETW na memória para suprimir o rastreamento de eventos."] class tech_T1070 technique tech_T1486["<b>Técnica</b> – T1486: Dados Criptografados para Impacto. Gera chaves ChaCha20 por arquivo através do Curve25519 ECDH, criptografa arquivos em blocos de 1u202fMB, anexa extensão .payload e adiciona um rodapé RC4u2011encriptado contendo chave pública da vítima e nonce."] class tech_T1486 technique tech_T1489["<b>Técnica</b> – T1489: Parada de Serviço. Termina serviços de backup, banco de dados, segurança e processos como sql.exe e firefox.exe."] class tech_T1489 technique tech_T1564_012["<b>Técnica</b> – T1564.012: Excluir Arquivos/Diretórios. Pula a criptografia de arquivos e diretórios de sistema, navegador e recuperação."] class tech_T1564_012 technique process_vssadmin["<b>Processo</b> – vssadmin.exe: Exclui cópias de sombra para remover pontos de recuperação."] class process_vssadmin process process_wevtapi["<b>Processo</b> – wevtapi.dll: Limpa canais de Logs de Eventos do Windows."] class process_wevtapi process process_etw["<b>Processo</b> – Módulo Bypass ETW: Patches das funções ETW para suprimir o rastreamento."] class process_etw process process_termination["<b>Processo</b> – Término de Serviço/Processo: Mata sql.exe, firefox.exe e outros serviços de backup, banco de dados e segurança."] class process_termination process malware_ransomware["<b>Malware</b> – Ransomware Payload: Realiza atividades de criptografia, geração de nota de resgate e limpeza."] class malware_ransomware malware %% Connections action_initial_execution –>|leva_a| op_and1 op_and1 –>|usa| tech_T1059 op_and1 –>|usa| tech_T1027 op_and1 –>|usa| tech_T1490 op_and1 –>|usa| tech_T1070_001 op_and1 –>|usa| tech_T1070 op_and1 –>|usa| tech_T1486 op_and1 –>|usa| tech_T1489 op_and1 –>|usa| tech_T1564_012 tech_T1490 –>|executa| process_vssadmin tech_T1070_001 –>|executa| process_wevtapi tech_T1070 –>|executa| process_etw tech_T1486 –>|implementada_por| malware_ransomware tech_T1489 –>|executa| process_termination "
Fluxo de Ataque
Detecções
Atividade Suspensa do VSSADMIN (via cmdline)
Ver
IOCs (HashSha256) para detectar: Behind .payload: Análise Técnica Detalhada do Ransomware Payload
Ver
IOCs (HashSha1) para detectar: Behind .payload: Análise Técnica Detalhada do Ransomware Payload
Ver
IOCs (HashMd5) para detectar: Behind .payload: Análise Técnica Detalhada do Ransomware Payload
Ver
Detecção de Atividade Ransomware Payload [Evento de Arquivo Windows]
Ver
Detecção de Atividade Ransomware Payload [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa e Comandos de Ataque:
- Exclusão de Cópia de Sombra (T1561.001): O atacante executa um comando de exclusão de VSS silencioso para apagar todos os pontos de restauração anteriores, impedindo as vítimas de recuperar arquivos criptografados.
- Criação de Mutex (T1203 – indireto): Payload cria um mutex global chamado “MakeAmericaGreatAgain” para garantir que apenas uma instância será executada.
- Término do Processo (T1203): O ransomware encerra processos relacionados à segurança usando a
API TerminateProcess.Bypass ETW (T1562.001): - O atacante lança um processo filho com a flag –bypass-etw para silenciar o Rastreamento de Eventos para Windows.
Todos os quatro ações são executadas por meio de um único script PowerShell que invocaScript de Teste de Regressão:
com as strings exatas que a regra Sigma busca.
Script de Teste de Regressão:# PayloadRansomwareSimulation.ps1 # Propósito: Gerar exatamente as strings de linha de comando que a regra Sigma corresponde. # 1. Excluir todas as cópias de sombra do VSS (calado) $vssCmd = ‘cmd.exe /c vssadmin.exe delete shadows /all /quiet’ Write-Host “Executando exclusão de VSS…” Invoke-Expression $vssCmd # 2. Criar um mutex global chamado “MakeAmericaGreatAgain” $mutexName = ‘MakeAmericaGreatAgain’ $mutex = New-Object System.Threading.Mutex($false, $mutexName) if ($mutex.WaitOne(0)) { Write-Host “Mutex [$mutexName] criado.” } # 3. Terminar um processo fictício (por exemplo, bloco de notas) para simular o término de processo Start-Process notepad Start-Sleep -Seconds 2 $proc = Get-Process -Name notepad -ErrorAction SilentlyContinue if ($proc) { $terminateCmd = “cmd.exe /c taskkill /PID $($proc.Id) /F” Write-Host “Terminando processo com o comando: $terminateCmd” Invoke-Expression $terminateCmd } # 4. Lançar um processo benigno com flag de bypass ETW $etwBypassCmd = ‘cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden –bypass-etw’ Write-Host “Lançando processo de bypass ETW…” Invoke-Expression $etwBypassCmd Write-Host “Simulação completa. Todas as strings de indicador devem agora estar presentes nos logs do Sysmon.” -
Comandos de Limpeza:
# CleanupPayloadRansomwareSimulation.ps1 # Liberar o mutex $mutexName = 'MakeAmericaGreatAgain' $mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue if ($null -ne $mutex) { $mutex.ReleaseMutex() $mutex.Close() Write-Host "Mutex [$mutexName] liberado." } # Garantir que não há processos de bloco de notas restantes Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force # Nenhuma limpeza adicional necessária para exclusão de VSS (não pode ser desfeita) – note que isso é destrutivo e só deve rodar em um laboratório isolado. Write-Host "Limpeza completa." -
Fim do Relatório
# CleanupPayloadRansomwareSimulation.ps1 # Release the mutex $mutexName = 'MakeAmericaGreatAgain' $mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue if ($null -ne $mutex) { $mutex.ReleaseMutex() $mutex.Close() Write-Host "Mutex [$mutexName] released." } # Ensure no leftover notepad processes Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force # No additional cleanup needed for VSS delete (cannot be undone) – note that this is destructive and should only run in an isolated lab. Write-Host "Cleanup complete."
End of Report