BlackBasta-Nachfolger „Payouts King“: Ehemalige Ransomware-Akteure formieren sich neu
Nach dem Ende der Ransomware-Gruppe BlackBasta im Februar 2025 setzen mutmaßliche Ex-Mitglieder ihre Angriffe unter neuem Namen fort. Sicherheitsforscher von Zscaler ThreatLabz schreiben die Aktivitäten einer bislang wenig bekannten Gruppe namens „Payouts King“ zu.
Im Februar 2025 stellte die Ransomware-Gruppe BlackBasta ihre Operationen ein, nachdem interne Chat-Protokolle öffentlich geworden waren. Laut Zscaler ThreatLabz sind die kriminellen Aktivitäten ehemaliger Partner jedoch nicht abgeebbt: Die Forscher beobachten seit Monaten Ransomware-Kampagnen, deren Vorgehen stark an die Handschrift früherer BlackBasta-Akteure erinnert. Zugeordnet werden diese Angriffe einer Gruppierung, die unter dem Namen „Payouts King“ auftritt.
Social Engineering über Spam, Phishing und Vishing
Die Angreifer kombinieren mehrere Social-Engineering-Techniken. Zunächst überfluten sie die Postfächer ihrer Zielpersonen mit Spam-Nachrichten, um künstlichen Handlungsdruck zu erzeugen. Anschließend kontaktieren sie die Opfer und geben sich als IT-Mitarbeiter des betroffenen Unternehmens aus. Unter dem Vorwand, bei der Lösung der vermeintlichen E-Mail-Probleme zu helfen, werden die Opfer in einen Microsoft-Teams-Call gelotst und dazu gebracht, das Fernwartungstool Microsoft Quick Assist zu starten. Über den so erlangten Fernzugriff platzieren die Angreifer Schadsoftware und etablieren sich im Unternehmensnetzwerk.
Verschleierungstechniken auf hohem Niveau
Sobald die Angreifer im Netzwerk Fuß gefasst haben, kommt ein technisch ausgereiftes Arsenal zum Einsatz. Die Payouts-King-Ransomware setzt auf Obfuskationsmethoden wie das dynamische Zusammensetzen und Entschlüsseln von Strings im Stack-Speicher sowie das Importieren von Windows-API-Funktionen über Hashwerte statt fest codierter Strings. Bemerkenswert sei nach Angaben der Forscher die Kombination aus FNV1-Hashes mit individuellen Seed-Werten und einem eigens entwickelten CRC-Prüfsummen-Algorithmus. Damit laufen automatisierte Analysewerkzeuge, die auf vorberechnete Hash-Tabellen angewiesen sind, weitgehend ins Leere.
Zur Umgehung von Analyseumgebungen verlangt die Ransomware zudem zwingend einen spezifischen Kommandozeilenparameter zur Verifikation. Ohne diesen Parameter wird der Verschlüsselungsprozess nicht gestartet – eine klassische Anti-Sandbox-Maßnahme, da automatisierte Systeme den passenden Parameter in der Regel nicht kennen. Die Persistenzmechanismen sind laut ThreatLabz ebenfalls aufwendig gestaltet: Die Malware legt über versteckte Pipes geplante Windows-Aufgaben an, um sich erweiterte Systemrechte zu verschaffen, führt diese sofort aus und löscht sie unmittelbar wieder, um forensische Spuren zu vermeiden.
Trifft die Ransomware bei der Verschlüsselung auf Dateien, die durch Antiviren- oder EDR-Lösungen blockiert werden, geht sie aggressiv gegen die Schutzsoftware vor. Sie berechnet Prüfsummen aller laufenden Prozessnamen und gleicht diese mit einer einprogrammierten Blockliste von über 130 Sicherheitsanwendungen ab. Statt die Prozesse über reguläre Windows-API-Aufrufe zu beenden, die Sicherheitslösungen leicht abfangen könnten, nutzt die Schadsoftware direkte Systemaufrufe auf tiefster Betriebssystemebene und unterläuft damit klassische EDR-Hooks.
Hybride Verschlüsselung und Zerstörung von Wiederherstellungsoptionen
Der Verschlüsselungsprozess ist laut Zscaler auf Tempo und maximalen Schaden ausgelegt. Payouts King nutzt eine hybride Verschlüsselung aus RSA und AES und verschlüsselt große Dateien aus Effizienzgründen nur teilweise. Um eine Wiederherstellung durch die Opfer zu verhindern, löscht die Malware sämtliche Windows-Schattenkopien sowie Systemprotokolle und benennt die betroffenen Dateien unauffällig um. Die Lösegeldforderung selbst, die auf einen TOX-Kontakt sowie eine Leak-Seite im Tor-Netzwerk verweist, wird erst auf expliziten Befehl hin auf dem infizierten System hinterlegt.
Empfohlene Schutzmaßnahmen
Zscaler ThreatLabz empfiehlt Unternehmen den Aufbau einer mehrschichtigen Verteidigungsstrategie. Als erste Verteidigungslinie nennen die Forscher die Schulung der Mitarbeitenden, damit Angriffstechniken wie Vishing und fingierte IT-Support-Anrufe frühzeitig erkannt werden. Zwingend notwendig sei zudem die durchgängige Nutzung von Multifaktor-Authentifizierung für sämtliche Systemzugänge. IT-Sicherheitsteams sollten den Einsatz legitimer Fernwartungswerkzeuge wie Quick Assist streng reglementieren und auf auffälliges Verhalten überwachen.
Wirksamer Schutz gegen das Geschäftsmodell solcher Ransomware-Banden lasse sich nur durch eine Kombination aus proaktivem Threat Hunting, kontinuierlich angepassten Sicherheitskontrollen und einem hohen Sicherheitsbewusstsein in der gesamten Belegschaft erreichen.