Payload Ransomware: Analisi Tecnica Approfondita

SOC Prime Team

Segui

Payload Ransomware: Analisi Tecnica Approfondita

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riassunto

Payload è una famiglia di ransomware Windows che cripta i file con ChaCha20 e utilizza uno scambio ECDH Curve25519 per file, quindi aggiunge l’ .payload estensione ai dati impattati. Il malware lascia un RECOVER_payload.txt nota di riscatto, crea il proprio file di log e applica diverse misure antiforensi, tra cui il patching ETW, la cancellazione delle copie shadow di VSS, la pulizia dei log degli eventi e la terminazione di processi e servizi selezionati. Visto per la prima volta nel febbraio 2026, il gruppo ha rapidamente ampliato il suo bacino di vittime in diversi continenti, concentrandosi in particolare su organizzazioni di logistica, immobiliare e manifatturiera. Gli operatori si affidano anche a siti onion Tor per comunicazione con le vittime e pubblicazione delle fughe di dati.

Investigazione

L’analisi spiega il flusso di lavoro crittografico del ransomware, compresa la creazione di una nuova chiave privata 32-byte della vittima, la derivazione di un segreto condiviso tramite Curve25519 e l’uso diretto di quel segreto condiviso come chiave di crittografia ChaCha20. La cifratura dei file viene effettuata tramite le porte di completamento I/O e si conclude con un footer crittografato con RC4 di 56 byte che contiene la chiave pubblica della vittima e un constante FBI marcatore. Il suo comportamento antiforense include il patching ETW in-memory, la cancellazione delle copie shadow tramite vssadmin, e la rimozione dei Log eventi Windows. I ricercatori hanno anche trovato una lista di killer predefinita di processi e servizi che il ransomware ferma prima di avviare la crittografia.

Mitigazione

I difensori dovrebbero monitorare la presenza del MakeAmericaGreatAgain mutex, dei nuovi .payload file creati, e della presenza della RECOVER_payload.txt nota di riscatto. Limitando l’esecuzione di vssadmin.exe e bloccando gli indirizzi onion Tor noti associati al gruppo può ridurre l’efficacia dei suoi metodi antiforensi e di comunicazione. Le protezioni endpoint dovrebbero anche rilevare il patching ETW, l’attività sospetta di I/O file API NT e la terminazione forzata di servizi importanti. Mantenere backup offline regolari e limitare la dipendenza dalle copie shadow può ulteriormente ridurre l’impatto aziendale.

Risposta

Se il ransomware Payload è rilevato, isolare immediatamente l’host colpito dalla rete, preservare la memoria volatile e raccogliere i log rilevanti per l’analisi. Gli investigatori dovrebbero identificare e terminare eventuali processi malevoli rimasti, quindi dare priorità al ripristino da backup puliti verificati. Se i backup non sono disponibili, gli sforzi di recupero possono utilizzare le chiavi di decriptazione fornite insieme al footer RC4 incorporato per tentare il ripristino dei file. Gli indicatori rilevanti dovrebbero essere condivisi con i team di intelligence delle minacce e l’infrastruttura onion Tor associata e qualsiasi asset di comando e controllo collegato dovrebbero essere bloccati.

"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["Azione – T1059 Esecuzione da Riga di Comando: Ransomware lanciato con argomenti da riga di comando controllanti il logging, la selezione dell’algoritmo di crittografia, il conteggio dei thread, la modalità background, la gestione del mutex, la generazione del ransom note, la terminazione di processi/servizi, il bypass ETW e la pulizia dei log degli eventi."] class action_initial_execution action op_and1(("E")) class op_and1 operator tech_T1059["Tecnica – T1059: Interfaccia da Riga di Comando. Esegue programmi tramite argomenti da riga di comando."] class tech_T1059 technique tech_T1027["Tecnica – T1027: File o Informazioni Offuscate. Utilizza codifica doubleu2011Base64, footer crittografato RC4 e risoluzione dinamica delle API NT per evitare la rilevazione statica."] class tech_T1027 technique tech_T1490["Tecnica – T1490: Inibizione del Recupero di Sistema. Cancella tutti gli snapshot della Copia Ombra di Volume tramite vssadmin.exe."] class tech_T1490 technique tech_T1070_001["Tecnica – T1070.001: Cancellazione dei Log Eventi Windows. Utilizza wevtapi.dll per cancellare tutti i canali dei log eventi."] class tech_T1070_001 technique tech_T1070["Tecnica – T1070: Rimozione Indicatori sull’Host (Bypass ETW). Effettua patch delle funzioni ETW in memoria per sopprimere il tracciamento degli eventi."] class tech_T1070 technique tech_T1486["Tecnica – T1486: Dati Cifrati per Impatto. Genera chiavi ChaCha20 per-file tramite Curve25519 ECDH, cifra i file in blocchi da 1u202fMB, aggiunge estensione .payload e un footer crittografato RC4 contenente la chiave pubblica della vittima e il nonce."] class tech_T1486 technique tech_T1489["Tecnica – T1489: Arresto del Servizio. Termina servizi di backup, database, sicurezza e processi come sql.exe e firefox.exe."] class tech_T1489 technique tech_T1564_012["Tecnica – T1564.012: Escludi File/Directory. Salta la cifratura di file e directory di sistema, browser e ripristino."] class tech_T1564_012 technique process_vssadmin["Processo – vssadmin.exe: Cancella le copie shadow per rimuovere i punti di ripristino."] class process_vssadmin process process_wevtapi["Processo – wevtapi.dll: Cancella i canali del Log Eventi Windows."] class process_wevtapi process process_etw["Processo – Modulo ETW Bypass: Effettua patch delle funzioni ETW per sopprimere il tracciamento."] class process_etw process process_termination["Processo – Terminazione di Servizi/Processi: Elimina sql.exe, firefox.exe e altri servizi di backup, database e sicurezza."] class process_termination process malware_ransomware["Malware – Payload Ransomware: Esegue operazioni di crittografia, generazione di ransom note e attività di pulizia."] class malware_ransomware malware %% Connections action_initial_execution –>|porta_a| op_and1 op_and1 –>|usa| tech_T1059 op_and1 –>|usa| tech_T1027 op_and1 –>|usa| tech_T1490 op_and1 –>|usa| tech_T1070_001 op_and1 –>|usa| tech_T1070 op_and1 –>|usa| tech_T1486 op_and1 –>|usa| tech_T1489 op_and1 –>|usa| tech_T1564_012 tech_T1490 –>|esegue| process_vssadmin tech_T1070_001 –>|esegue| process_wevtapi tech_T1070 –>|esegue| process_etw tech_T1486 –>|implementato_da| malware_ransomware tech_T1489 –>|esegue| process_termination "

Flusso di Attacco

Narrazione & Comandi di Attacco:
1. Cancellazione Shadow‑Copy (T1561.001): L’attaccante esegue un comando VSS di eliminazione silenziosa per cancellare tutti i punti di ripristino precedenti, impedendo alle vittime di recuperare i file criptati.
2. Creazione Mutex (T1203 – indiretto): Il payload crea un mutex globale chiamato “MakeAmericaGreatAgain” per assicurare che solo un’istanza venga eseguita.
3. Terminazione Processo (T1203): Il ransomware termina processi legati alla sicurezza usando l’ TerminateProcess API.
4. Bypass ETW (T1562.001): L’attaccante lancia un processo figlio con l’opzione --bypass-etw per silenziare il Tracciamento Eventi per Windows.
Tutte e quattro le azioni vengono eseguite tramite un singolo script PowerShell che invoca cmd.exe /c con le stringhe esatte che la regola Sigma cerca.

Script di Test di Regressione:

# PayloadRansomwareSimulation.ps1
# Scopo: Generare esattamente le stringhe da riga di comando che la regola Sigma corrisponde.

# 1. Cancella tutte le copie shadow VSS (silenziosamente)
$vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet'
Write-Host "Esecuzione cancellazione VSS..."
Invoke-Expression $vssCmd

# 2. Crea un mutex globale chiamato "MakeAmericaGreatAgain"
$mutexName = 'MakeAmericaGreatAgain'
$mutex = New-Object System.Threading.Mutex($false, $mutexName)
if ($mutex.WaitOne(0)) {
    Write-Host "Mutex [$mutexName] creato."
}

# 3. Termina un processo fittizio (ad es., notepad) per simulare la terminazione del processo
Start-Process notepad
Start-Sleep -Seconds 2
$proc = Get-Process -Name notepad -ErrorAction SilentlyContinue
if ($proc) {
    $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F"
    Write-Host "Terminazione processo con comando: $terminateCmd"
    Invoke-Expression $terminateCmd
}

# 4. Avvia un processo benigno con opzione bypass ETW
$etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw'
Write-Host "Avvio processo bypass ETW..."
Invoke-Expression $etwBypassCmd

Write-Host "Simulazione completa. Tutte le stringhe indicatrici dovrebbero ora essere presenti nei log Sysmon."

Comandi di Pulizia:

# CleanupPayloadRansomwareSimulation.ps1
# Rilascia il mutex
$mutexName = 'MakeAmericaGreatAgain'
$mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue
if ($null -ne $mutex) {
    $mutex.ReleaseMutex()
    $mutex.Close()
    Write-Host "Mutex [$mutexName] rilasciato."
}

# Assicurati che non ci siano processi notepad rimanenti
Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force

# Nessun cleanup aggiuntivo necessario per la cancellazione VSS (non può essere annullato) – nota che questo è distruttivo e dovrebbe essere eseguito solo in un laboratorio isolato.
Write-Host "Pulizia completa."

Fine del Rapporto

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis