Payload

Überblick

Payload ist eine Ransomware-Gruppe, deren Schadprogramm auf dem geleakten Quellcode der Babuk-Ransomware aufbaut. Charakteristisch ist der plattformübergreifende Ansatz: Die Gruppe greift sowohl Windows-Systeme als auch Virtualisierungsumgebungen unter VMware ESXi an und kann damit ganze Infrastrukturen verschlüsseln. Payload verfolgt das Modell der Double Extortion — neben der Verschlüsselung werden Daten zuvor entwendet, um mit deren Veröffentlichung zusätzlichen Druck aufzubauen; zur Bloßstellung der Opfer betreibt die Gruppe eine eigene Leak-Site. Betroffen sind Einrichtungen unterschiedlicher Branchen, darunter das Gesundheitswesen, der Energiesektor, die Immobilienwirtschaft sowie die Landwirtschaft. Die Opfer verteilen sich über mehrere Länder. Trotz des fremden Code-Ursprungs tritt Payload als eigenständige Marke auf und konnte in kurzer Zeit zahlreiche Opfer kompromittieren, was auf eine durchaus schlagkräftige Operation hindeutet.

Taktiken & Vorgehen

Die Ausführung erfolgt über die Native API des Betriebssystems. Zur Tarnung werden Zeichenketten RC4-verschlüsselt und der Schlüssel der Erpressernachricht doppelt Base64-kodiert (Obfuscated Files or Information). Nach getaner Arbeit löscht sich die Schadsoftware selbst, indem sie sich über einen NTFS-Alternate-Data-Stream („:payload“) umbenennt (File Deletion). Eine Execution Guardrail über den Mutex „MakeAmericaGreatAgain“ verhindert Mehrfachausführung. Zur Erkundung dienen Process Discovery, die Abfrage von Systeminformationen (CPUID für AVX2/SSE2, GetLogicalProcessorInformation) sowie eine rekursive Verzeichnisdurchsuchung mittels NtQueryDirectoryFile. Beim Impact verschlüsselt Payload die Daten, beendet über den Service Control Manager zahlreiche Dienste aus den Bereichen Backup, Virenschutz und Datenbanken, unterbindet die Systemwiederherstellung und deaktiviert oder verändert Sicherheitswerkzeuge.

Schutzmaßnahmen

Da gezielt Backup-, Virenschutz- und Datenbankdienste über den Service Control Manager beendet werden, sollten kritische Dienste gegen unbefugtes Stoppen abgesichert und unerwartete Dienstbeendigungen überwacht werden. Backups sollten manipulationssicher und offline vorgehalten werden, weil die Schadsoftware die Systemwiederherstellung unterbindet. Das Deaktivieren oder Verändern von Sicherheitswerkzeugen sollte durch Manipulationsschutz der Endpoint-Lösungen erschwert und alarmiert werden. Verdächtige Nutzung von NTFS-Alternate-Data-Streams zur Selbstlöschung sowie auffällige Aufrufe der Native API sollten durch verhaltensbasierte Erkennung registriert werden. Wegen der plattformübergreifenden Ausrichtung sollten neben Windows-Systemen auch VMware-ESXi-Umgebungen gehärtet und gesondert überwacht werden.