🔍 Contexte

Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an.

🎯 Vecteur d’accès initial

Les attaquants combinent plusieurs techniques :

  • Spam bombing massif ciblant les victimes
  • Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT
  • Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau

🛠️ Techniques d’obfuscation et d’évasion

  • Construction et déchiffrement de chaînes sur la pile (stack-based strings)
  • Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé)
  • Arguments de ligne de commande obfusqués via CRC checksum custom
  • Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox)
  • Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR
  • Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx

🔐 Chiffrement des fichiers

  • Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement)
  • Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés
  • Extension ajoutée aux fichiers chiffrés : .ZWIAAW
  • Fichier de sauvegarde temporaire : extension .esVnyj
  • Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié)
  • Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance)

⚙️ Persistance et élévation de privilèges

  • Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask
  • Exécution en tant que SYSTEM
  • Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques

🧹 Anti-forensique

  • Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet
  • Vidage de la corbeille via SHEmptyRecycleBinW
  • Effacement des journaux d’événements Windows via EvtClearLog
  • Terminaison de 131 processus AV/EDR identifiés par checksum

📡 Infrastructure

  • Contact via TOX
  • Site de fuite de données accessible via Tor
  • Vol massif de données avant déploiement du ransomware (double extorsion)

📄 Type d’article

Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Payouts King (cybercriminal) —
  • BlackBasta (cybercriminal) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1566 — Phishing (Initial Access)
  • T1219 — Remote Access Software (Command and Control)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1657 — Financial Theft (Impact)
  • T1036 — Masquerading (Defense Evasion)
  • T1106 — Native API (Execution)

IOC

  • Fichiers : readme_locker.txt

Malware / Outils

  • Payouts King (ransomware)
  • Quick Assist (tool)

🟢 Indice de vérification factuelle : 71/100 (haute)

  • ✅ zscaler.com — source reconnue (liste interne) (20pts)
  • ✅ 11160 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 20 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Payouts King, BlackBasta (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.zscaler.com/blogs/security-research/payouts-king-takes-aim-ransomware-throne