https://cyberveille.ch/tags/payouts-king/ Recent content in Payouts King on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-payouts-king-nouveau-ransomware-lie-a-d-anciens-courtiers-d-acces-de-blackbasta/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-payouts-king-nouveau-ransomware-lie-a-d-anciens-courtiers-d-acces-de-blackbasta/ <h2 id="-contexte">🔍 Contexte</h2> <p>Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware <strong>Payouts King</strong>, attribué à d&rsquo;anciens <strong>initial access brokers (IAB) de BlackBasta</strong>, actif discrètement depuis environ un an.</p> <h2 id="-vecteur-daccès-initial">🎯 Vecteur d&rsquo;accès initial</h2> <p>Les attaquants combinent plusieurs techniques :</p> <ul> <li><strong>Spam bombing</strong> massif ciblant les victimes</li> <li><strong>Phishing</strong> et <strong>vishing</strong> via <strong>Microsoft Teams</strong>, en usurpant l&rsquo;identité d&rsquo;un membre du support IT</li> <li>Instruction à la victime d&rsquo;initier <strong>Quick Assist</strong> pour déployer le malware et établir un point d&rsquo;ancrage réseau</li> </ul> <h2 id="-techniques-dobfuscation-et-dévasion">🛠️ Techniques d&rsquo;obfuscation et d&rsquo;évasion</h2> <ul> <li>Construction et déchiffrement de chaînes sur la pile (stack-based strings)</li> <li>Résolution des fonctions Windows API <strong>par hash</strong> (FNV1 avec seed unique par valeur + algorithme CRC personnalisé)</li> <li>Arguments de ligne de commande obfusqués via CRC checksum custom</li> <li>Paramètre <code>-i</code> obligatoire pour déclencher le chiffrement (anti-sandbox)</li> <li>Utilisation de <strong>syscalls directs</strong> (Zw*) pour contourner les hooks AV/EDR</li> <li>Renommage des fichiers via <code>SetFileInformationByHandle</code> (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx</li> </ul> <h2 id="-chiffrement-des-fichiers">🔐 Chiffrement des fichiers</h2> <ul> <li>Combinaison <strong>RSA 4096 bits + AES-256 en mode CTR</strong> (bibliothèque OpenSSL liée statiquement)</li> <li>Support code pour <strong>ChaCha20</strong> présent mais non utilisé dans les échantillons analysés</li> <li>Extension ajoutée aux fichiers chiffrés : <strong><code>.ZWIAAW</code></strong></li> <li>Fichier de sauvegarde temporaire : extension <strong><code>.esVnyj</code></strong></li> <li>Note de rançon : <strong><code>readme_locker.txt</code></strong> (déposée uniquement si <code>-note</code> est spécifié)</li> <li>Chiffrement partiel (13 blocs, 50%) pour les fichiers &gt; 10 Mo (optimisation performance)</li> </ul> <h2 id="-persistance-et-élévation-de-privilèges">⚙️ Persistance et élévation de privilèges</h2> <ul> <li>Tâches planifiées créées via <code>schtasks.exe</code> sous <code>\Mozilla\UpdateTask</code> et <code>\Mozilla\ElevateTask</code></li> <li>Exécution en tant que <strong>SYSTEM</strong></li> <li>Suppression de la tâche d&rsquo;élévation après exécution pour effacer les traces forensiques</li> </ul> <h2 id="-anti-forensique">🧹 Anti-forensique</h2> <ul> <li>Suppression des <strong>shadow copies</strong> : <code>vssadmin.exe delete shadows /all /quiet</code></li> <li>Vidage de la corbeille via <code>SHEmptyRecycleBinW</code></li> <li>Effacement des journaux d&rsquo;événements Windows via <code>EvtClearLog</code></li> <li>Terminaison de 131 processus AV/EDR identifiés par checksum</li> </ul> <h2 id="-infrastructure">📡 Infrastructure</h2> <ul> <li>Contact via <strong>TOX</strong></li> <li>Site de fuite de données accessible via <strong>Tor</strong></li> <li>Vol massif de données avant déploiement du ransomware (double extorsion)</li> </ul> <h2 id="-type-darticle">📄 Type d&rsquo;article</h2> <p>Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d&rsquo;attribution et de détection.</p>