Uma nova variante de ransomware, denominada "Payload", emergiu como uma ameaça séria para organizações em múltiplos setores. Identificada por pesquisadores da Derp.Ca, a malícia combina técnicas de criptografia fortes com capacidades anti-forenses avançadas, dificultando significativamente a investigação e recuperação de dados.
Descoberta e Escopo
O grupo por trás do Payload tem sido ativo desde pelo menos 17 de fevereiro de 2026, data de compilação do binário Windows. Desde então, o ransomware já reivindicou 12 vítimas em sete países, com um total de 2.603 gigabytes de dados supostamente roubados. O foco está em organizações de médio a grande porte nos setores de saúde, imobiliário, energia, telecomunicações e agricultura, principalmente em mercados emergentes.
Tecnologia e Criptografia
O Payload utiliza um esquema de criptografia robusto, combinando a troca de chaves de curva elíptica Curve25519 com o cipher de fluxo ChaCha20. Para cada arquivo, um par de chaves Curve25519 e um nonce de 12 bytes são gerados. Um acordo de chave ECDH entre a chave por arquivo e a chave pública fixada do operador produz um segredo compartilhado, usado diretamente como chave de criptografia ChaCha20.
Arquivos maiores que 2 GB recebem apenas 20% de criptografia, espalhada em blocos de 1 MB, o que oferece uma vantagem de velocidade em sistemas de armazenamento grandes. Após o bloqueio, um rodapé de 56 bytes é anexado, criptografado com RC4 e a chave de três bytes "FBI", armazenando a chave pública e o nonce necessários para a descriptografia.
Capacidades Anti-Forenses
O que torna o Payload particularmente perigoso são suas capacidades anti-forenses. O malware aplica patches em quatro funções de rastreamento de eventos do Windows em ntdll.dll para cegar ferramentas de detecção de endpoint. Além disso, ele limpa todos os logs de eventos do Windows após a criptografia e usa um truque de renomeação de Fluxo de Dados Alternativo NTFS para excluir silenciosamente o binário sem deixar um processo filho ou arquivo temporário.
O ransomware também cria um mutex chamado MakeAmericaGreatAgain para evitar múltiplas cópias rodando simultaneamente. Os analistas da Derp.Ca não encontraram fraquezas criptográficas na implementação, indicando que a recuperação de arquivos sem a chave privada do operador é impossível.
Impacto e Mitigação
O Payload opera um modelo de extorsão dupla, roubando dados antes de criptografar os arquivos e ameaçando publicá-los a menos que o resgate seja pago. As vítimas são direcionadas a um portal de negociação baseado em Tor com credenciais únicas por vítima.
Para proteção, as organizações devem manter backups offline imutáveis e testá-los regularmente, pois o Payload visa e desabilita serviços de backup como Veeam, Acronis e BackupExec. Equipes de segurança não devem confiar apenas no monitoramento baseado em ETW, já que o Payload patcha funções core do ntdll para desabilitá-lo.
Indicadores de comprometimento confiáveis incluem o mutex MakeAmericaGreatAgain e a extensão de arquivo criptografado .payload. Regras de detecção YARA para as versões Windows e Linux estão disponíveis publicamente.