Im Februar 2025 endete die Ära der berüchtigten Ransomware-Gruppierung BlackBasta abrupt. Nachdem interne Chat-Protokolle an die Öffentlichkeit gelangt waren, sah sich die Gruppe gezwungen, ihre Operationen einzustellen. Doch die kriminelle Energie blieb: Ehemalige BlackBasta-Partner setzten ihre Angriffe umgehend mit anderen Ransomware-Familien fort. Die Analysten des Zscaler ThreatLabz-Forschungsteams haben in den vergangenen Monaten kontinuierliche Ransomware-Aktivitäten beobachtet, die stark an die Handschrift der früheren BlackBasta-Akteure erinnert und einer bislang noch relativ unbekannten Gruppe namens „Payouts King“ zugeordnet.
Social Engineering als Einfallstor
Die Bedrohungsakteure setzen auf eine Kombination aus Spam-Bombing, Phishing und Vishing (Voice Phishing). Dabei überfluten sie zunächst die Postfächer der Zielpersonen mit Spam-Nachrichten und generieren ein Gefühl von Dringlichkeit. Im nächsten Schritt geben sich die Angreifer als IT-Mitarbeitende des attackierten Unternehmens aus und nehmen Kontakt zum Opfer auf. Unter dem Vorwand, bei der Behebung der E-Mail-Probleme zu helfen, werden die Opfer angewiesen, an einem Microsoft Teams-Call teilzunehmen und das legitime Fernwartungstool Microsoft Quick Assist zu starten. Sobald das Opfer auf diese Täuschung anspricht, nutzen die Angreifer den gewährten Fernzugriff, um Malware auf dem System zu platzieren und sich im Unternehmensnetzwerk festzusetzen.
Raffinierte Tarn- und Verschleierungstechniken
Sobald die Angreifer im Netzwerk Fuß gefasst haben, entfaltet die Payouts King-Ransomware ihr hochentwickeltes technisches Arsenal. Das ThreatLabz-Team konnte nachweisen, dass die Malware auf zahlreiche fortschrittliche Obfuskationsmethoden zurückgreift. Dazu gehört das dynamische Zusammensetzen und Entschlüsseln von Strings im Stackspeicher sowie das Importieren von Windows-API-Funktionen mittels Hashwerten anstelle von hardcodierten Strings. Bemerkenswert ist dabei der Einsatz einer Kombination aus FNV1-Hashes mit eindeutigen Seed-Werten sowie eines eigens entwickelten CRC-Prüfsummen-Algorithmus für die Verschleierung. Diese Methodik macht automatisierte Analysetools, die auf vorberechnete Hash-Tabellen zurückgreifen, weitgehend wirkungslos.
Ein weiteres markantes Merkmal zur Umgehung von Abwehrmaßnahmen ist die zwingende Nutzung spezifischer Kommandozeilenparameter. Die Ransomware startet den Verschlüsselungsprozess standardmäßig nur dann, wenn ein spezieller Parameter zur Verifikation übergeben wird. Dies ist eine klassische Anti-Sandbox-Technik, da automatisierte Analysesysteme diese spezifischen Parameter im Regelfall nicht kennen. Auch die Persistenzmechanismen der Malware sind fortschrittlich gestaltet: Die Ransomware richtet über versteckte Pipes geplante Windows-Aufgaben ein, um sich höchste Systemrechte zu verschaffen, führt diese umgehend aus und löscht die Aufgaben danach sofort wieder, um keine forensischen Spuren zu hinterlassen.
Trifft die Ransomware bei der Dateiverschlüsselung auf blockierte Dateien – etwa durch aktive Antiviren- oder EDR-Lösungen (Endpoint Detection and Response) – geht sie äußerst aggressiv vor. Payouts King berechnet Prüfsummen für alle laufenden Prozessnamen und gleicht diese mit einer fest einprogrammierten Blocklist von über 130 Sicherheitsanwendungen ab. Um diese Schutzprozesse zu beenden, verzichtet die Malware jedoch auf standardmäßige Windows API-Aufrufe, die leicht von Sicherheitslösungen abgefangen werden könnten. Stattdessen nutzt sie direkte Systemaufrufe (Direct System Calls) auf tiefster Betriebssystemebene, wodurch sie herkömmliche EDR-Hooks unterläuft.
Effiziente und zerstörerische Verschlüsselung
Der Verschlüsselungsprozess von Payouts King ist auf maximale Geschwindigkeit und Zerstörung ausgelegt. Die Ransomware nutzt eine starke hybride Verschlüsselung (RSA und AES) und optimiert ihr Vorgehen, indem sie große Dateien zur Zeitersparnis nur teilweise verschlüsselt. Um eine Datenrettung durch die Opfer zu verhindern, löscht die Malware routinemäßig alle Windows-Schattenkopien sowie Systemprotokolle und benennt die kompromittierten Dateien unauffällig um. Die eigentliche Lösegeldforderung, die auf einen TOX-Kontakt und eine Tor Leak-Seite verweist, wird nur auf expliziten Befehl hin auf dem infizierten System hinterlassen.
Fazit und Handlungsanweisungen
Um sich gegen diese hochentwickelten Bedrohungen effektiv zu wappnen, müssen Unternehmen zwingend eine tiefgreifende Defense-in-Depth-Strategie aufbauen. Als erste Verteidigungslinie dient die kontinuierliche Sensibilisierung und Schulung der Mitarbeitenden, um ausgeklügelte Angriffe wie Vishing und fingierte IT-Support- Anrufe frühzeitig zu erkennen. Ebenso unerlässlich ist die strikte Durchsetzung einer Multifaktor-Authentifizierung (MFA) für sämtliche Systemzugänge. Darüber hinaus müssen IT-Sicherheitsteams die Nutzung von legitimen Fernwartungswerkzeugen wie Quick Assist streng reglementieren und auf anomales Verhalten hin überwachen.
Nur durch eine strategische Kombination aus proaktivem Threat Hunting, der kontinuierlichen Anpassung von Sicherheitskontrollen an neue Bedrohungslagen und einem ausgeprägten IT-Sicherheitsbewusstsein der gesamten Belegschaft können Unternehmen diesem hochgradig lukrativen Geschäftsmodell der Ransomware-Banden wirksam entgegentreten.
