Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Payload es una familia de ransomware de Windows que cifra archivos con ChaCha20 y utiliza un intercambio ECDH de Curve25519 por archivo, luego agrega la .payload extensión a los datos afectados. El malware deja caer una RECOVER_payload.txt nota de rescate, crea su propio archivo de registro y aplica varias medidas antiforenses, incluyendo parcheo de ETW, eliminación de copias sombra de VSS, limpieza de registros de eventos y terminación de procesos y servicios seleccionados. Visto por primera vez en febrero de 2026, el grupo expandió rápidamente su base de víctimas en varios continentes, con un enfoque notable en organizaciones de logística, bienes raíces y manufactura. Los operadores también dependen de sitios de cebolla Tor para la comunicación con las víctimas y la publicación de filtraciones de datos.
Investigación
El análisis explica el flujo de trabajo criptográfico del ransomware, incluida la creación de una clave privada de víctima de 32 bytes fresca, la derivación de un secreto compartido a través de Curve25519 y el uso directo de ese secreto compartido como la clave de cifrado ChaCha20. El cifrado de archivos se lleva a cabo mediante Puertos de Finalización de E/S y concluye con un pie de página cifrado RC4 de 56 bytes que contiene la clave pública de la víctima y un constante FBI marcador. Su comportamiento antiforense incluye parcheo de ETW en memoria, eliminación de copias sombra a través de vssadmin, y eliminación de registros de eventos de Windows. Los investigadores también encontraron una lista de procesos y servicios predeterminada que el ransomware detiene antes de iniciar el cifrado.
Mitigación
Los defensores deben monitorear el mutex MakeAmericaGreatAgain , los .payload archivos RECOVER_payload.txt recién creados y la presencia de la nota de rescate. Restringir la ejecución de nota de rescate. Restringir la ejecución de
Respuesta
Si se detecta el ransomware Payload, aísle de inmediato el host afectado de la red, preserve la memoria volátil y recopile registros relevantes para el análisis. Los investigadores deben identificar y terminar cualquier proceso malicioso restante, luego priorizar la restauración a partir de copias de seguridad limpias verificadas. Si no hay copias de seguridad disponibles, los esfuerzos de recuperación pueden usar las claves de descifrado suministradas junto con el pie de página RC4 incrustado para intentar restaurar archivos. Los indicadores relevantes deben compartirse con los equipos de inteligencia de amenazas, y la infraestructura de cebollas Tor asociada y cualquier activo de comando y control vinculado deben bloquearse.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["<b>Acción</b> – <b>T1059 Ejecución de Línea de Comandos</b>: Ransomware lanzado con argumentos de línea de comandos controlando el registro, selección de algoritmo de cifrado, cuenta de hilos, modo de fondo, manejo de mutex, generación de nota de rescate, terminación de proceso/servicio, omisión de ETW y limpieza de registros de eventos."] class action_initial_execution action op_and1(("Y")) class op_and1 operator tech_T1059["<b>Técnica</b> – T1059: Interfaz de Línea de Comandos. Ejecuta programas a través de argumentos de línea de comandos."] class tech_T1059 technique tech_T1027["<b>Técnica</b> – T1027: Archivos o Información Ofuscados. Utiliza codificación doble-Base64, pie de página cifrado RC4 y resolución dinámica de APIs NT para evitar la detección estática."] class tech_T1027 technique tech_T1490["<b>Técnica</b> – T1490: Inhibir la Recuperación del Sistema. Elimina todas las instantáneas de Copias de Sombra de Volumen a través de vssadmin.exe."] class tech_T1490 technique tech_T1070_001["<b>Técnica</b> – T1070.001: Limpiar Registros de Eventos de Windows. Utiliza wevtapi.dll para limpiar todos los canales de registro de eventos."] class tech_T1070_001 technique tech_T1070["<b>Técnica</b> – T1070: Eliminación de Indicadores en el Host (Omisión de ETW). Parchea funciones ETW en memoria para suprimir el trazado de eventos."] class tech_T1070 technique tech_T1486["<b>Técnica</b> – T1486: Datos Cifrados para Impacto. Genera claves ChaCha20 por archivo a través de Curve25519 ECDH, cifra archivos en porciones de 1 MB, agrega extensión .payload y añade un pie de página cifrado RC4 con la clave pública de la víctima y nonce."] class tech_T1486 technique tech_T1489["<b>Técnica</b> – T1489: Detener Servicio. Termina servicios de respaldo, bases de datos, seguridad y procesos como sql.exe y firefox.exe."] class tech_T1489 technique tech_T1564_012["<b>Técnica</b> – T1564.012: Excluir Archivos/Directorios. Omite el cifrado de directorios y archivos del sistema, navegador y recuperación."] class tech_T1564_012 technique process_vssadmin["<b>Proceso</b> – vssadmin.exe: Elimina copias sombra para eliminar puntos de recuperación."] class process_vssadmin process process_wevtapi["<b>Proceso</b> – wevtapi.dll: Limpia canales de Registro de Eventos de Windows."] class process_wevtapi process process_etw["<b>Proceso</b> – Módulo de Omisión de ETW: Parchea funciones ETW para suprimir trazado."] class process_etw process process_termination["<b>Proceso</b> – Terminación de Proceso/Servicio: Mata sql.exe, firefox.exe y otros servicios de respaldo, bases de datos y seguridad."] class process_termination process malware_ransomware["<b>Malware</b> – Ransomware de Payload: Realiza cifrado, generación de nota de rescate y actividades de limpieza."] class malware_ransomware malware %% Conexiones action_initial_execution –>|conduce_a| op_and1 op_and1 –>|usa| tech_T1059 op_and1 –>|usa| tech_T1027 op_and1 –>|usa| tech_T1490 op_and1 –>|usa| tech_T1070_001 op_and1 –>|usa| tech_T1070 op_and1 –>|usa| tech_T1486 op_and1 –>|usa| tech_T1489 op_and1 –>|usa| tech_T1564_012 tech_T1490 –>|ejecuta| process_vssadmin tech_T1070_001 –>|ejecuta| process_wevtapi tech_T1070 –>|ejecuta| process_etw tech_T1486 –>|implementado_por| malware_ransomware tech_T1489 –>|ejecuta| process_termination "
Flujo de Ataque
Detecciones
Actividad Sospechosa de VSSADMIN (vía cmdline)
Ver
IOCs (HashSha256) para detectar: Detrás de .payload: Análisis Técnico Detallado de Ransomware Payload
Ver
IOCs (HashSha1) para detectar: Detrás de .payload: Análisis Técnico Detallado de Ransomware Payload
Ver
IOCs (HashMd5) para detectar: Detrás de .payload: Análisis Técnico Detallado de Ransomware Payload
Ver
Detección de Actividad de Ransomware Payload [Evento de Archivo de Windows]
Ver
Detección de Actividad de Ransomware Payload [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Requisito Previo: La Comprobación de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
- Eliminación de Copias de Sombra (T1561.001): El atacante ejecuta un comando oculto de eliminación de VSS para borrar todos los puntos de restauración anteriores, impidiendo que las víctimas recuperen archivos cifrados.
- Creación de Mutex (T1203 – indirecto): Payload crea un mutex global llamado “MakeAmericaGreatAgain” para asegurar que solo una instancia se ejecute.
- Terminación de Proceso (T1203): El ransomware termina procesos relacionados con la seguridad usando el
TerminateProcessAPI. - Omisión de ETW (T1562.001): El atacante lanza un proceso hijo con la
--bypass-etwbandera para silenciar el Rastreo de Eventos para Windows.
Las cuatro acciones se ejecutan a través de un único script de PowerShell que invoca
cmd.exe /ccon las cadenas exactas que busca la regla Sigma. -
Script de Prueba de Regresión:
# PayloadRansomwareSimulation.ps1 # Propósito: Generar exactamente las cadenas de línea de comandos que coincide la regla Sigma. # 1. Eliminar todas las copias de sombra de VSS (silencioso) $vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet' Write-Host "Ejecutando eliminación de VSS..." Invoke-Expression $vssCmd # 2. Crear un mutex global llamado "MakeAmericaGreatAgain" $mutexName = 'MakeAmericaGreatAgain' $mutex = New-Object System.Threading.Mutex($false, $mutexName) if ($mutex.WaitOne(0)) { Write-Host "Mutex [$mutexName] creado." } # 3. Terminar un proceso ficticio (p. ej., bloc de notas) para simular la terminación del proceso Start-Process notepad Start-Sleep -Seconds 2 $proc = Get-Process -Name notepad -ErrorAction SilentlyContinue if ($proc) { $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F" Write-Host "Terminando proceso con comando: $terminateCmd" Invoke-Expression $terminateCmd } # 4. Lanzar un proceso benigno con la bandera de omisión de ETW $etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw' Write-Host "Lanzando proceso de omisión de ETW..." Invoke-Expression $etwBypassCmd Write-Host "Simulación completa. Todas las cadenas de indicadores deben estar ahora presentes en los registros de Sysmon." -
Comandos de Limpieza:
# LimpiezaPayloadRansomwareSimulation.ps1 # Liberar el mutex $mutexName = 'MakeAmericaGreatAgain' $mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue if ($null -ne $mutex) { $mutex.ReleaseMutex() $mutex.Close() Write-Host "Mutex [$mutexName] liberado." } # Asegúrese de que no queden procesos de notepad Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force # No se necesita limpieza adicional para la eliminación de VSS (no se puede deshacer) – tenga en cuenta que esto es destructivo y solo debe ejecutarse en un laboratorio aislado. Write-Host "Limpieza completa."
Fin del Informe