Analyse statique complète du ransomware Payload, dérivé du code source Babuk 2021, utilisant Curve25519+ChaCha20, ciblant Windows et ESXi avec 12 victimes et 2 603 Go exfiltrés.

🔍 Contexte

Publié le 21 mars 2026 par Kirk sur derp.ca, cet article présente une analyse statique complète du ransomware Payload, actif depuis au moins le 17 février 2026. Le groupe revendique 12 victimes dans 7 pays, avec 2 603 Go de données exfiltrées, dont une attaque contre le Royal Bahrain Hospital (110 Go, deadline 23 mars 2026).

🎯 Victimologie

Les cibles sont des organisations de taille moyenne à grande dans les secteurs :

  • Immobilier
  • Énergie
  • Santé
  • Télécommunications
  • Agriculture

Principalement dans les marchés émergents.

🧬 Origine et lignage

Payload est un dérivé du code source Babuk (fuite septembre 2021). Les listes de services (34) et processus (31) à tuer sont identiques caractère par caractère à Babuk. 17 moteurs VirusTotal détectent le binaire comme Babuk. La signature ClamAV Win.Ransomware.Babuk-10032520-1 couvre 154 échantillons sur 8 opérations partageant cette base de code.

🔐 Schéma de chiffrement

  • Échange de clés : Curve25519 ECDH (curve25519-donna)
  • Chiffrement fichiers : ChaCha20 (constantes quarter-round 16, 12, 8, 7)
  • Footer 56 octets : chiffré RC4 avec la clé 3 octets FBI
  • Clé privée par fichier : effacée de la mémoire après chaque fichier
  • Fichiers > 2 Go : chiffrement partiel (20% du fichier, chunks de 1 Mo espacés)
  • La clé publique opérateur est encodée en base64 dans la section .rdata

🪟 Fonctionnalités Windows

  • Chiffrement lecteurs locaux et réseau, extension .payload
  • Note de rançon : RECOVER_payload.txt
  • Suppression des shadow copies via vssadmin.exe delete shadows /all /quiet
  • Patch ETW : neutralisation de 4 fonctions ntdll (EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer, EtwRegister)
  • Effacement des journaux d’événements Windows via EvtClearLog
  • Auto-suppression via renommage NTFS ADS en :payload
  • Mutex : MakeAmericaGreatAgain
  • Log d’exécution : C:\payload.log

🐧 Variante Linux/ESXi

  • ELF 64-bit de 39 Ko, strippé
  • Cible les hyperviseurs ESXi via parsing libxml2 de /etc/vmware/hostd/vmInventory.xml
  • Même crypto Curve25519+ChaCha20, même clé RC4 footer FBI
  • Clé publique opérateur différente de la version Windows
  • Anti-debug via lecture de TracerPid dans /proc/self/status
  • Absent : killer de services/processus, suppression shadow copies, wipe logs, patch ETW, mutex, auto-suppression

🌐 Infrastructure

  • Portail de négociation Tor : payloadynyvabjacbun4uwhmxc7yvdzorycslzmnleguxjn7glahsvqd.onion
  • Blog de fuite Tor : payloadrz5yw227brtbvdqpnlhq3rdcdekdnn3rgucbcdeawq2v6vuyd.onion
  • Pas de communication C2 (ransomware offline)
  • Paiement exclusivement via le portail Tor, aucune adresse wallet dans la note

📋 Type d’article

Il s’agit d’une analyse technique approfondie (reverse engineering complet) publiée par un chercheur indépendant, visant à documenter les capacités, le lignage et les IOCs du ransomware Payload pour la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Payload (cybercriminal)

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1489 — Service Stop (Impact)
  • T1485 — Data Destruction (Impact)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1562.006 — Impair Defenses: Indicator Blocking (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1135 — Network Share Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1055 — Process Injection (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1082 — System Information Discovery (Discovery)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)

IOC

  • SHA256 : 1ca67af90400ee6cbbd42175293274a0f5dc05315096cb2e214e4bfe12ffb71f
  • SHA256 : bed8d1752a12e5681412efbb82839108
  • MD5 : e0fd8ff6d39e4c11bdaf860c35fd8dc0
  • MD5 : f91cbdd91e2daab31b715ce3501f5ea0
  • Fichiers : RECOVER_payload.txt
  • Fichiers : RECOVERY-xx0001.txt
  • Fichiers : payload.log
  • Chemins : C:\payload.log
  • Chemins : /etc/vmware/hostd/vmInventory.xml
  • Chemins : /proc/self/status

Malware / Outils

  • Payload ransomware (ransomware)
  • Babuk (ransomware)

🔗 Source originale : https://www.derp.ca/research/payload-ransomware-babuk-derivative/