Contexto e surgimento do grupo
Um novo grupo de ransomware conhecido como Payouts King tem construído sua reputação silenciosamente desde seu primeiro aparecimento em abril de 2025. Embora tenha passado despercebido durante grande parte do ano passado, o início de 2026 trouxe um aumento notável na atividade, ligado a ex-filiados da operação agora extinta BlackBasta. O grupo atinge organizações através de táticas bem conhecidas, mas eficazes, roubando grandes volumes de dados sensíveis antes de criptografar seletivamente arquivos em sistemas comprometidos.
A BlackBasta, que operou como sucessora do notório grupo de ransomware Conti desde fevereiro de 2022, colapsou em fevereiro de 2025 após seus logs de chat internos serem vazados online. Essa exposição forçou o grupo a se desmantelar, mas não impediu as pessoas por trás dos ataques. Muitos de seus ex-filiados simplesmente continuaram sob diferentes bandeiras, implantando outras famílias de ransomware como Cactus e, mais recentemente, alinhando-se ao Payouts King.
A Zscaler identificou esses ataques e publicou um relatório compartilhado com a Cyber Security News (CSN), confirmando que eles poderiam atribuir parte dessa atividade renovada ao grupo de ransomware Payouts King com alta confiança. Os pesquisadores notaram que os padrões de ataque correspondiam de perto aos vistos em campanhas anteriores da BlackBasta, incluindo o mesmo jogo de engenharia social.
Vetor de infecção e engenharia social
A infecção inicial geralmente começa com um bombardeio de spam, onde o atacante inunda a caixa de entrada do alvo com grandes volumes de e-mails indesejados. Eles então se passam por um funcionário de suporte de TI, entrando em contato via Microsoft Teams e convencendo a vítima a iniciar uma sessão de Assistência Rápida (Quick Assist). Uma vez concedido o acesso, o atacante deixa o malware no sistema, estabelecendo silenciosamente uma presença dentro da rede da organização.
Depois disso, o Payouts King se move rapidamente. Ele tenta obter privilégios de nível de sistema completo, exclui cópias de sombra do Windows para bloquear a recuperação, limpa os logs de eventos para retardar investigações forenses e esvazia a lixeira antes de começar a criptografia. O grupo também opera um site de vazamento de dados na dark web, adicionando pressão às vítimas para pagar, ameaçando publicar informações roubadas.
Evasão de EDR e ofuscação avançada
Um dos aspectos mais notáveis deste ransomware é como ele trabalha agressivamente para evitar a detecção. Ele constrói e decodifica strings em tempo real, em vez de armazená-las como texto legível, tornando a análise estática muito mais difícil. Ele também resolve funções do Windows usando valores de hash em vez de nomes em texto puro e aplica um algoritmo de checksum personalizado com uma semente única para cada valor, derrotando ferramentas que dependem de tabelas de hash pré-construídas para identificar malware.
Quando um arquivo não pode ser aberto para criptografia porque uma ferramenta de segurança o bloqueou, o ransomware verifica todos os processos em execução e os compara com uma lista de 131 processos conhecidos de antivírus e detecção de ponto final. Em vez de usar chamadas de API do Windows padrão para encerrar essas ferramentas, ele usa chamadas de sistema diretas que contornam os ganchos nos quais a maioria dos produtos de detecção de ponto final depende para capturar atividades suspeitas.
Design de criptografia e defesa de evasão
O Payouts King usa RSA de 4.096 bits combinado com AES de 256 bits no modo contador para criptografia, com uma biblioteca OpenSSL estática vinculada incorporada no malware. Arquivos com menos de 10 MB são totalmente criptografados, enquanto arquivos maiores são divididos em 13 blocos, com apenas metade de cada um criptografado, um método projetado para acelerar os ataques sem reduzir seu impacto.
O ransomware evita chamar funções padrão de renomeação de arquivos do Windows após a criptografia, em vez disso, usa uma chamada de nível inferior que a maioria das ferramentas de segurança não monitora. Arquivos criptografados recebem a extensão .ZWIAAW, e a nota de resgate nomeada readme_locker.txt é deixada apenas quando uma flag de linha de comando específica é fornecida em tempo de execução, tornando a análise de sandbox automatizada consideravelmente mais difícil.
Indicadores de comprometimento (IoCs)
Os seguintes indicadores de comprometimento foram identificados e devem ser monitorados em ambientes corporativos:
- SHA256: 335ad12a950f885073acdfebb250c93fb28ca3f374bbba5189986d9234dcbff4 (Amostra de ransomware Payouts King)
- SHA256: d68ce82e82801cd487f9cd2d24f7b30e353cafd0704dcdf0bb8f12822d4227c2 (Amostra de ransomware Payouts King)
- Extensão de Arquivo: .ZWIAAW (Extensão de arquivo criptografado adicionada pelo Payouts King)
- Nome de Arquivo: readme_locker.txt (Nota de resgate deixada na área de trabalho da vítima)
- Extensão de Arquivo: .esVnyj (Extensão de arquivo de backup temporário usada durante a criptografia)
Recomendações para CISOs e equipes de segurança
Para se defender de ameaças como esta, as organizações devem priorizar o treinamento de conscientização do usuário focado em identificar solicitações falsas de suporte técnico em plataformas como o Microsoft Teams. A implementação de autenticação multifator em todas as contas e o monitoramento rigoroso do uso incomum de ferramentas de acesso remoto como o Quick Assist também são críticos. As equipes de segurança também devem investir em caça proativa a ameaças em vez de depender inteiramente da detecção automatizada para capturar ameaças avançadas como o Payouts King.