Payload Ransomware: Technische Analyse im Detail

SOC Prime Team

Folgen

Payload Ransomware: Technische Analyse im Detail

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Payload ist eine Windows-Ransomware-Familie, die Dateien mit ChaCha20 verschlüsselt und einen pro Datei Curve25519 ECDH-Austausch verwendet, um dann die .payload -Erweiterung an betroffene Daten anzuhängen. Die Malware hinterlässt eine RECOVER_payload.txt Lösegeldforderung, erstellt ihre eigene Protokolldatei und wendet mehrere antiforensische Maßnahmen an, darunter ETW-Patching, das Löschen von VSS-Schattenkopien, das Löschen von Ereignisprotokollen und das Beenden ausgewählter Prozesse und Dienste. Erstmals im Februar 2026 gesehen, erweiterte die Gruppe schnell ihre Opferbasis über mehrere Kontinente hinweg, mit einem besonderen Fokus auf Logistik-, Immobilien- und Fertigungsorganisationen. Die Betreiber nutzen auch Tor-Onion-Sites für die Kommunikation mit den Opfern und die Veröffentlichung von Datenlecks.

Untersuchung

Die Analyse erklärt den kryptographischen Workflow der Ransomware, einschließlich der Erstellung eines neuen 32-Byte-Opfer-Privatschlüssels, der Ableitung eines gemeinsamen Geheimnisses durch Curve25519 und der direkten Verwendung dieses gemeinsamen Geheimnisses als ChaCha20-Verschlüsselungsschlüssel. Die Dateiverschlüsselung erfolgt über I/O Completion Ports und endet mit einem 56-Byte-RC4-verschlüsselten Fußzeilen, die den öffentlichen Schlüssel des Opfers und einen konstanten FBI Marker enthält. Ihr antiforensisches Verhalten umfasst das ETW-Patching im Speicher, das Löschen von Schattenkopien über vssadminund die Entfernung der Windows-Ereignisprotokolle. Forscher fanden auch eine vordefinierte Liste von Prozessen und Diensten, die die Ransomware vor dem Start der Verschlüsselung stoppt.

Abschwächung

Verteidiger sollten auf die MakeAmericaGreatAgain Mutex, neu erstellte .payload Dateien und das Vorhandensein der RECOVER_payload.txt Lösegeldforderung achten. Die Ausführung von vssadmin.exe einschränken und bekannte Tor-Onion-Adressen blockieren, die mit der Gruppe in Verbindung stehen, kann die Effektivität ihrer antiforensischen und Kommunikationsmethoden reduzieren. Endpunkt-Schutzmaßnahmen sollten auch ETW-Patching, verdächtige NT-API-Datei-I/O-Aktivitäten und die erzwungene Beendigung wichtiger Dienste erkennen. Das regelmäßige Erstellen von Offline-Backups und das Begrenzen der Abhängigkeit von Schattenkopien können den Geschäftsausfall weiter minimieren.

Reaktion

Wird Payload-Ransomware entdeckt, sollte der betroffene Host sofort vom Netzwerk isoliert, der flüchtige Speicher erhalten und relevante Protokolle zur Analyse gesammelt werden. Ermittler sollten alle verbleibenden bösartigen Prozesse identifizieren und beenden, dann die Wiederherstellung von verifizierten sauberen Backups priorisieren. Sind keine Backups verfügbar, können die Wiederherstellungsbemühungen die bereitgestellten Entschlüsselungsschlüssel zusammen mit der eingebetteten RC4-Fußzeile verwenden, um die Datei wiederherzustellen. Relevante Indikatoren sollten mit Bedrohungsintelligence-Teams geteilt, und die zugehörige Tor-Onion-Infrastruktur und alle verknüpften Command-and-Control-Assets sollten blockiert werden.

"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["Action – T1059 Befehlszeilenausführung: Ransomware gestartet mit Befehlszeilenargumenten, die das Logging, die Auswahl des Verschlüsselungsalgorithmus, die Anzahl der Threads, den Hintergrundmodus, die Verwaltung von Mutexen, die Erstellung von Lösegeldnoten, die Beendigung von Prozessen/Diensten, das Umgehen von ETW und das Löschen von Ereignisprotokollen steuern."] class action_initial_execution action op_and1(("AND")) class op_and1 operator tech_T1059["Technik – T1059: Befehlszeilenschnittstelle. Führt Programme über Befehlszeilenargumente aus."] class tech_T1059 technique tech_T1027["Technik – T1027: Verschleierte Dateien oder Informationen. Verwendet Double-Base64-Kodierung, RC4-verschlüsselte Fußzeile und dynamische Auflösung von NT-APIs, um statische Erkennung zu vermeiden."] class tech_T1027 technique tech_T1490["Technik – T1490: Systemwiederherstellung verhindern. Löscht alle Volume-Shadow-Copy-Snapshots über vssadmin.exe."] class tech_T1490 technique tech_T1070_001["Technik – T1070.001: Windows-Ereignisprotokolle löschen. Nutzt wevtapi.dll, um alle Ereignisprotokollkanäle zu löschen."] class tech_T1070_001 technique tech_T1070["Technik – T1070: Indikatoren auf dem Host entfernen (ETW-Umgehung). Patches ETW-Funktionen im Speicher, um die Ereignisprotokollierung zu unterdrücken."] class tech_T1070 technique tech_T1486["Technik – T1486: Datenverschlüsselung für den Impact. Erzeugt pro Datei ChaCha20-Schlüssel über Curve25519 ECDH, verschlüsselt Dateien in 1 MB großen Abschnitten, fügt die .payload-Erweiterung hinzu und fügt eine RC4-verschlüsselte Fußzeile mit dem öffentlichen Schlüssel des Opfers und einer Nonce hinzu."] class tech_T1486 technique tech_T1489["Technik – T1489: Dienst stoppen. Beendet Backup-, Datenbank-, Sicherheitsdienste und Prozesse wie sql.exe und firefox.exe."] class tech_T1489 technique tech_T1564_012["Technik – T1564.012: Dateien/Verzeichnisse ausschließen. Umgeht die Verschlüsselung von System-, Browser- und Wiederherstellungsverzeichnissen und -dateien."] class tech_T1564_012 technique process_vssadmin["Prozess – vssadmin.exe: Löscht Schattenkopien, um Wiederherstellungspunkte zu entfernen."] class process_vssadmin process process_wevtapi["Prozess – wevtapi.dll: Löscht Windows-Ereignisprotokollkanäle."] class process_wevtapi process process_etw["Prozess – ETW-Umgehungsmodul: Patches ETW-Funktionen, um die Nachverfolgung zu unterdrücken."] class process_etw process process_termination["Prozess – Dienst-/Prozessbeendigung: Beendet sql.exe, firefox.exe und andere Backup-, Datenbank- und Sicherheitsdienste."] class process_termination process malware_ransomware["Malware – Ransomware Payload: Führt Verschlüsselung, Erstellung von Lösegeldnotizen und Aufräumaktivitäten durch."] class malware_ransomware malware %% Connections action_initial_execution –>|führt zu| op_and1 op_and1 –>|verwendet| tech_T1059 op_and1 –>|verwendet| tech_T1027 op_and1 –>|verwendet| tech_T1490 op_and1 –>|verwendet| tech_T1070_001 op_and1 –>|verwendet| tech_T1070 op_and1 –>|verwendet| tech_T1486 op_and1 –>|verwendet| tech_T1489 op_and1 –>|verwendet| tech_T1564_012 tech_T1490 –>|führt aus| process_vssadmin tech_T1070_001 –>|führt aus| process_wevtapi tech_T1070 –>|führt aus| process_etw tech_T1486 –>|umgesetzt von| malware_ransomware tech_T1489 –>|führt aus| process_termination "

Angriffsablauf

Angriffserzählung & Befehle:
1. Löschen von Schattenkopien (T1561.001): Der Angreifer führt einen stillen VSS-Löschbefehl aus, um alle vorherigen Wiederherstellungspunkte zu löschen und damit zu verhindern, dass die Opfer verschlüsselte Dateien wiederherstellen.
2. Erstellung von Mutex (T1203 – indirekt): Payload erstellt einen globalen Mutex mit dem Namen “MakeAmericaGreatAgain”, um sicherzustellen, dass nur eine Instanz läuft.
3. Prozessbeendigung (T1203): Die Ransomware beendet sicherheitsbezogene Prozesse, indem sie die TerminateProcess API verwendet.
4. ETW-Umgehung (T1562.001): Der Angreifer startet einen untergeordneten Prozess mit dem --bypass-etw Flag, um die Ereignisnachverfolgung für Windows zu unterdrücken.
Alle vier Aktionen werden über ein einziges PowerShell-Skript ausgeführt, das cmd.exe /c mit den genauen Zeichenfolgen aufruft, nach denen die Sigma-Regel sucht.

Rückschritts-Testskript:

# PayloadRansomwareSimulation.ps1
# Zweck: Erzeugt genau die Befehlszeilenzeichenfolgen, die die Sigma-Regel abgleicht.

# 1. Löschen aller VSS-Schattenkopien (ruhig)
$vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet'
Write-Host "VSS-Löschung wird ausgeführt..."
Invoke-Expression $vssCmd

# 2. Erstellen eines globalen Mutex mit Namen "MakeAmericaGreatAgain"
$mutexName = 'MakeAmericaGreatAgain'
$mutex = New-Object System.Threading.Mutex($false, $mutexName)
if ($mutex.WaitOne(0)) {
    Write-Host "Mutex [$mutexName] erstellt."
}

# 3. Beenden eines Dummy-Prozesses (z.B. Notepad) zur Simulation der Prozessbeendigung
Start-Process notepad
Start-Sleep -Seconds 2
$proc = Get-Process -Name notepad -ErrorAction SilentlyContinue
if ($proc) {
    $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F"
    Write-Host "Prozess wird mit Befehl beendet: $terminateCmd"
    Invoke-Expression $terminateCmd
}

# 4. Starten eines gutartigen Prozess mit ETW-Umgehungsflag
$etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw'
Write-Host "ETW-Umgehungsprozess wird gestartet..."
Invoke-Expression $etwBypassCmd

Write-Host "Simulation abgeschlossen. Alle Indikatorzeichenfolgen sollten jetzt in den Sysmon-Protokollen vorhanden sein."

Aufräum-Befehle:

# CleanupPayloadRansomwareSimulation.ps1
# Lösen des Mutex
$mutexName = 'MakeAmericaGreatAgain'
$mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue
if ($null -ne $mutex) {
    $mutex.ReleaseMutex()
    $mutex.Close()
    Write-Host "Mutex [$mutexName] freigegeben."
}

# Sicherstellen, dass keine verbleibenden Notepad-Prozesse vorhanden sind
Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force

# Keine zusätzliche Bereinigung erforderlich für VSS-Löschung (kann nicht rückgängig gemacht werden) – Beachte, dass dies destruktiv ist und nur in einem isolierten Lab laufen sollte.
Write-Host "Bereinigung abgeschlossen."

Ende des Berichts

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten