Payload Ransomware : Analyse Technique Approfondie

SOC Prime Team

Suivre

Payload Ransomware : Analyse Technique Approfondie

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Payload est une famille de ransomwares Windows qui chiffre les fichiers avec ChaCha20 et utilise un échange ECDH Curve25519 par fichier, puis ajoute l’extension .payload aux données impactées. Le malware dépose une note de rançon RECOVER_payload.txt crée son propre fichier journal, et applique plusieurs mesures anti-forensiques, y compris le patching ETW, la suppression des copies d’ombre VSS, l’effacement des journaux d’événements, et la terminaison de certains processus et services sélectionnés. Apparu en février 2026, le groupe a rapidement étendu sa base de victimes à travers plusieurs continents, en se concentrant notablement sur les organisations de logistique, d’immobilier, et de fabrication. Les opérateurs s’appuient également sur des sites onion Tor pour la communication avec les victimes et la publication de fuites de données.

Enquête

L’analyse explique le flux cryptographique du ransomware, y compris la création d’une nouvelle clé privée de 32 octets pour la victime, la dérivation d’un secret partagé via Curve25519, et l’utilisation directe de ce secret partagé comme clé de chiffrement ChaCha20. Le chiffrement des fichiers est réalisé via les ports d’achèvement d’E/S et se conclut par un pied de page de 56 octets chiffré par RC4 qui contient la clé publique de la victime et un FBI marqueur constant. Son comportement anti-forensique inclut le patching ETW en mémoire, la suppression des copies d’ombre via vssadmin, et la suppression des journaux d’événements Windows. Les chercheurs ont également trouvé une liste de processus et de services prédéfinis à tuer que le ransomware arrête avant de lancer le chiffrement.

Atténuation

Les défenseurs devraient surveiller la mutex MakeAmericaGreatAgain , les fichiers nouvellement créés, et la présence de la .payload files, and the presence of the note de rançon RECOVER_payload.txt note de rançon. Restreindre l’exécution de vssadmin.exe et bloquer les adresses onion Tor connues associées au groupe peut réduire l’efficacité de ses méthodes anti-forensiques et de communication. Les protections des points de terminaison devraient également détecter le patching ETW, l’activité suspecte d’I/O des fichiers NT API, et la terminaison forcée de services importants. Maintenir des sauvegardes régulières hors ligne et limiter la dépendance aux copies d’ombre peut réduire encore plus l’impact sur les affaires.

Réponse

Si le ransomware Payload est détecté, isolez immédiatement l’hôte affecté du réseau, préservez la mémoire volatile, et collectez les journaux pertinents pour l’analyse. Les enquêteurs doivent identifier et terminer tout processus malveillant restant, puis donner la priorité à la restauration à partir de sauvegardes propres vérifiées. Si les sauvegardes ne sont pas disponibles, les efforts de récupération peuvent utiliser les clés de décryptage fournies avec le pied de page RC4 intégré pour tenter la restauration des fichiers. Les indicateurs pertinents devraient être partagés avec les équipes de renseignement sur les menaces, et l’infrastructure onion Tor associée ainsi que tout actif de commande et contrôle lié devraient être bloqués.

"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["Action – T1059 Command-Line Execution: Ransomware lancé avec des arguments en ligne de commande contrôlant la journalisation, la sélection de l’algorithme de chiffrement, le nombre de threads, le mode de fond, la gestion des mutex, la génération de notes de rançon, la terminaison des processus/services, le contournement ETW, et l’effacement des journaux d’événements."] class action_initial_execution action op_and1(("AND")) class op_and1 operator tech_T1059["Technique – T1059: Interface en ligne de commande. Exécute des programmes via des arguments en ligne de commande."] class tech_T1059 technique tech_T1027["Technique – T1027: Fichiers ou informations obfusqués. Utilise un encodage double-en-Base64, un pied de page chiffré par RC4, et la résolution dynamique des API NT pour éviter les détections statiques."] class tech_T1027 technique tech_T1490["Technique – T1490: Inhiber la récupération système. Supprime tous les instantanés de Volume Shadow Copy via vssadmin.exe."] class tech_T1490 technique tech_T1070_001["Technique – T1070.001: Effacer les journaux d’événements Windows. Utilise wevtapi.dll pour effacer tous les canaux de journaux d’événements."] class tech_T1070_001 technique tech_T1070["Technique – T1070: Suppression d’indicateurs sur l’hôte (contournement ETW). Patche les fonctions ETW en mémoire pour supprimer le traçage des événements."] class tech_T1070 technique tech_T1486["Technique – T1486: Données chiffrées pour impact. Génère des clés ChaCha20 par fichier via Curve25519 ECDH, chiffre les fichiers en morceaux de 1 MB, ajoute l’extension .payload et un pied de page RC4 crypté contenant la clé publique de la victime et un nonce."] class tech_T1486 technique tech_T1489["Technique – T1489: Arrêt de service. Termine les services et processus de sauvegarde, de base de données, de sécurité tels que sql.exe et firefox.exe."] class tech_T1489 technique tech_T1564_012["Technique – T1564.012: Exclure des fichiers/répertoires. Ignore le chiffrement des répertoires et fichiers de système, de navigateur et de récupération."] class tech_T1564_012 technique process_vssadmin["Processus – vssadmin.exe: Supprime les copies d’ombre pour supprimer les points de récupération."] class process_vssadmin process process_wevtapi["Processus – wevtapi.dll: Efface les canaux de journaux d’événements Windows."] class process_wevtapi process process_etw["Processus – Module de contournement ETW: Patche les fonctions ETW pour supprimer le traçage."] class process_etw process process_termination["Processus – Terminaison du service/processus: Tue sql.exe, firefox.exe et d’autres services de sauvegarde, de base de données et de sécurité."] class process_termination process malware_ransomware["Malware – Charge utile ransomware: Effectue le chiffrement, la génération de notes de rançon, et les activités de nettoyage."] class malware_ransomware malware %% Connections action_initial_execution –>|leads_to| op_and1 op_and1 –>|uses| tech_T1059 op_and1 –>|uses| tech_T1027 op_and1 –>|uses| tech_T1490 op_and1 –>|uses| tech_T1070_001 op_and1 –>|uses| tech_T1070 op_and1 –>|uses| tech_T1486 op_and1 –>|uses| tech_T1489 op_and1 –>|uses| tech_T1564_012 tech_T1490 –>|executes| process_vssadmin tech_T1070_001 –>|executes| process_wevtapi tech_T1070 –>|executes| process_etw tech_T1486 –>|implemented_by| malware_ransomware tech_T1489 –>|executes| process_termination "

Flux d’attaque

Narration et commandes de l’attaque :
1. Suppression de copie d’ombre (T1561.001) : L’attaquant exécute une commande de suppression silencieuse de VSS pour effacer tous les points de restauration précédents, empêchant les victimes de récupérer les fichiers chiffrés.
2. Création de mutex (T1203 – indirect) : Payload crée un mutex global nommé “MakeAmericaGreatAgain” pour garantir qu’une seule instance s’exécute.
3. Terminaison de processus (T1203) : Le ransomware termine les processus liés à la sécurité en utilisant l’API TerminateProcess .
4. Contournement ETW (T1562.001) : L’attaquant lance un processus enfant avec le drapeau --bypass-etw pour désactiver le traçage des événements pour Windows.
Les quatre actions sont exécutées via un seul script PowerShell qui invoque cmd.exe /c avec les chaînes exactes que la règle Sigma recherche.

Script de test de régression :

# PayloadRansomwareSimulation.ps1
# Objectif : Générer exactement les chaînes de commande que la règle Sigma correspond.

# 1. Supprimer toutes les copies d'ombre VSS (silencieusement)
$vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet'
Write-Host "Execution de la suppression de VSS..."
Invoke-Expression $vssCmd

# 2. Créer un mutex global nommé "MakeAmericaGreatAgain"
$mutexName = 'MakeAmericaGreatAgain'
$mutex = New-Object System.Threading.Mutex($false, $mutexName)
if ($mutex.WaitOne(0)) {
    Write-Host "Mutex [$mutexName] créé."
}

# 3. Terminer un processus fictif (ex: notepad) pour simuler la terminaison de processus
Start-Process notepad
Start-Sleep -Seconds 2
$proc = Get-Process -Name notepad -ErrorAction SilentlyContinue
if ($proc) {
    $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F"
    Write-Host "Termination du processus avec la commande : $terminateCmd"
    Invoke-Expression $terminateCmd
}

# 4. Lancer un processus bénin avec le drapeau de contournement ETW
$etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw'
Write-Host "Lancement du processus de contournement ETW..."
Invoke-Expression $etwBypassCmd

Write-Host "Simulation complète. Toutes les chaînes indicatrices devraient maintenant être présentes dans les journaux Sysmon."

Commandes de nettoyage :

# CleanupPayloadRansomwareSimulation.ps1
# Libérer le mutex
$mutexName = 'MakeAmericaGreatAgain'
$mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue
if ($null -ne $mutex) {
    $mutex.ReleaseMutex()
    $mutex.Close()
    Write-Host "Mutex [$mutexName] libéré."
}

# Assurez-vous qu'il n'y a pas de processus notepad restants
Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force

# Aucun nettoyage supplémentaire nécessaire pour la suppression de VSS (ne peut être annulée) - notez que cela est destructif et ne doit être exécuté que dans un laboratoire isolé.
Write-Host "Nettoyage terminé."

Fin du rapport

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement