Introdução
Uma nova variante de ransomware denominada Payload tem emergido como uma ameaça significativa ao ecossistema de segurança corporativa, operando de forma silenciosa desde fevereiro de 2026. O grupo criminoso, identificado como Payload, expandiu suas operações globalmente, atingindo setores críticos como logística, transporte, construção e imobiliário, especialmente na região do Oriente Médio e Norte da África (MENA). A sofisticação técnica observada no malware, combinada com estratégias agressivas de evasão e criptografia, representa um desafio direto para equipes de SOC e CISOs que buscam mitigar riscos de criptografia de dados.
Descoberta e Escopo da Ameaça
A análise técnica conduzida pela Dark Atlas, em colaboração com a Cyber Security News, revelou que o Payload não é apenas mais um malware genérico, mas uma operação madura com infraestrutura robusta. Até 24 de março de 2026, o grupo já havia listado 50 vítimas em seu site de vazamento, demonstrando uma capacidade de escala que preocupa analistas de inteligência de ameaças. O foco do grupo em setores onde a interrupção das operações gera pressão financeira imediata sugere um modelo de ataque direcionado e calculado, visando maximizar o poder de negociação para o pagamento de resgate.
Engenharia de Criptografia e Algoritmos
O mecanismo de cifragem do Payload é particularmente notável por sua complexidade. Diferente de ransomwares que utilizam chaves mestras estáticas, o Payload adota uma abordagem de criptografia por arquivo. Para cada arquivo alvo, o malware gera uma chave privada de 32 bytes e um nonce de 12 bytes utilizando a função CryptGenRandom do próprio Windows. Em seguida, executa uma operação de troca de chaves Curve25519 ECDH, combinando a chave temporária da vítima com a chave pública incorporada do operador para produzir um segredo compartilhado. Este segredo é utilizado diretamente como a chave ChaCha20 para a cifragem dos dados.
Os arquivos são processados em blocos de um megabyte, e um cabeçalho de 56 bytes é anexado ao final de cada arquivo cifrado. Este cabeçalho contém a chave pública temporária da vítima e o nonce, protegidos por criptografia RC4 utilizando uma chave de três bytes fixa "FBI". Essa arquitetura garante que, sem a chave privada do operador, a recuperação dos dados seja praticamente impossível, eliminando a esperança de restauração sem pagamento ou backup íntegro.
Técnicas Anti-Forensicas e Evasão
Uma das características mais alarmantes do Payload é sua capacidade de apagar rastros de forma agressiva. Quando a flag bypass-etw é ativada, o malware injeta e patchea quatro funções críticas de rastreamento de eventos (ETW) dentro da biblioteca ntdll do Windows. Isso silencia a capacidade do sistema de registrar o que o ransomware está fazendo em tempo real, dificultando a detecção por ferramentas de monitoramento de comportamento.
Antes do início da cifragem, o Payload executa uma limpeza sistemática do ambiente. Ele exclui todas as cópias de sombra (shadow copies) do Windows, limpa os logs de eventos do sistema (Application, System e Security) e termina mais de 30 processos e mais de 40 serviços. O alvo inclui soluções de backup como Veeam e Acronis, além de bancos de dados SQL, deixando as vítimas sem mecanismos de recuperação padrão.
Indicadores de Comprometimento (IoCs)
Para fins de detecção e resposta, as seguintes indicações de comprometimento foram identificadas:
- Hash MD5: E0FD8FF6D39E4C11BDAF860C35FD8DC0
- Hash SHA1: DDE1B933AAD33C5D96C2E45AD46434A200DC46A6
- Hash SHA256: 1CA67AF90400EE6CBBD42175293274A0F5DC05315096CB2E214E4BFE12FFB71F
- Mutex: MakeAmericaGreatAgain (impede múltiplas instâncias)
- Extensão de Arquivo: .payload
- Nota de Resgate: RECOVER_payload.txt
- Log de Operador: \??\C:\payload.log
- Comando de Exclusão de VSS:
vssadmin.exe delete shadows /all /quiet
Recomendações para CISOs e Equipes de SOC
A natureza técnica do Payload exige uma postura defensiva proativa. As equipes de segurança devem monitorar a terminação súbita de serviços de backup e banco de dados, bem como a criação de arquivos com a extensão .payload. Manter backups offline e proteger os serviços de cópia de sombra no nível da infraestrutura são passos críticos. Além disso, a aplicação de patches de segurança e a segmentação de rede podem limitar a propagação lateral do malware.
Perguntas Frequentes
É possível recuperar os arquivos sem pagar o resgate? Atualmente, não há ferramentas públicas de descriptografia para o Payload devido à sua arquitetura de chave por arquivo e uso de criptografia assimétrica robusta.
O grupo ataca o Brasil? Até o momento, as vítimas reportadas estão concentradas no Egito, México, Polônia e região MENA, mas a natureza global da ameaça exige vigilância contínua.