Payload ransomware là một biến thể mã độc tống tiền nhắm vào hệ thống Windows, được ghi nhận từ tháng 2/2026 và nhanh chóng mở rộng danh sách nạn nhân trên nhiều khu vực. Điểm đáng chú ý của ransomware này nằm ở cơ chế mã hóa tệp và các bước né tránh phát hiện, khiến việc khôi phục sau sự cố trở nên khó khăn hơn đáng kể.
Payload ransomware nhắm vào Windows và mở rộng phạm vi tấn công
Payload ransomware thêm phần mở rộng .payload vào mọi tệp đã mã hóa và hiển thị thông báo đòi tiền chuộc RECOVER_payload.txt. Nạn nhân được cho 240 giờ để bắt đầu đàm phán.
Đến ngày 24/03/2026, danh sách rò rỉ của nhóm đã ghi nhận 50 nạn nhân, bao gồm các tổ chức trong lĩnh vực bất động sản, logistics, sản xuất và công nghệ. Mẫu mục tiêu cho thấy Payload ransomware tập trung vào các hệ thống mà thời gian ngừng dịch vụ tạo ra áp lực tài chính trực tiếp.
Nhóm vận hành leak site và mở rộng hoạt động sang nhiều khu vực như Egypt, Mexico, Poland và các thị trường khác. Thông tin phân tích kỹ thuật được công bố trong báo cáo của Dark Atlas: Behind Payload: In-Depth Technical Analysis of Payload Ransomware.
Cách Payload ransomware mã hóa tệp trên Windows
Payload ransomware sử dụng mô hình mã hóa theo từng tệp, làm cho việc giải mã gần như không thể nếu không có khóa riêng của toán tử. Với mỗi tệp, mã độc tạo một khóa riêng 32 byte và một nonce 12 byte bằng hàm CryptGenRandom của Windows.
Sau đó, mã độc thực hiện phép Curve25519 ECDH, kết hợp khóa tạm thời của nạn nhân với khóa công khai nhúng sẵn của toán tử để tạo ra shared secret. Shared secret này được dùng trực tiếp làm khóa ChaCha20.
Việc mã hóa diễn ra theo từng khối 1 MB. Khi hoàn tất, Payload ransomware ghi thêm một footer 56 byte vào cuối tệp. Footer này lưu khóa công khai tạm thời của nạn nhân và nonce, được bao bọc bằng RC4 với khóa ba byte “FBI”.
Cơ chế này cho phép toán tử dùng khóa riêng của mình để khôi phục tệp, trong khi nạn nhân gần như không có đường giải mã độc lập. Đây là đặc trưng quan trọng của ransomware hiện đại khi kết hợp mật mã đối xứng và trao đổi khóa bất đối xứng.
Chế độ xử lý và tối ưu hiệu năng
Payload ransomware hỗ trợ 3 chế độ tốc độ: AVX2, SSE2 và đường xử lý scalar tiêu chuẩn. Mã độc tự chọn nhánh phù hợp dựa trên bộ xử lý của nạn nhân.
Việc tối ưu này giúp tiến trình mã hóa hoạt động hiệu quả hơn trên nhiều cấu hình phần cứng khác nhau. Đây cũng là một dấu hiệu cho thấy Payload ransomware được xây dựng với mức độ hoàn thiện kỹ thuật cao.
Kỹ thuật né phát hiện và xóa dấu vết
Một trong những yếu tố khiến Payload ransomware nguy hiểm là khả năng xóa dấu vết trước và trong khi mã hóa. Khi cờ bypass-etw được bật, mã độc vá trực tiếp 4 hàm event-tracing trong thư viện ntdll của Windows để làm suy giảm khả năng ghi log của hệ thống.
Ngoài ra, mã độc còn:
- Xóa Windows shadow copies trước khi mã hóa.
- Nạp Windows event log API tại thời gian chạy và xóa toàn bộ kênh log, bao gồm Application, System và Security.
- Ghi đè hoặc vô hiệu hóa dấu vết hoạt động nhằm giảm dữ liệu phục vụ điều tra.
Việc xóa shadow copy và log khiến khả năng phục hồi sau sự cố giảm mạnh, đồng thời làm hạn chế bằng chứng pháp y sau cuộc tấn công mạng.
Ảnh hưởng hệ thống và tiến trình bị dừng
Payload ransomware chủ động chấm dứt các dịch vụ và tiến trình liên quan đến cơ sở dữ liệu, sao lưu và ứng dụng văn phòng trước khi khóa tệp. Mã độc được ghi nhận là:
- Chấm dứt hơn 30 tiến trình.
- Dừng hơn 40 dịch vụ.
- Nhắm vào SQL databases, Veeam, Acronis và nhiều phần mềm sao lưu khác.
Những hành động này làm giảm khả năng backup đang chạy, ngăn việc chụp snapshot nhất quán và cản trở khôi phục dữ liệu. Với môi trường sản xuất, đây là một rủi ro bảo mật trực tiếp vì hệ thống bị tấn công có thể mất cả dữ liệu lẫn khả năng vận hành.
Mutex, file và dấu vết nhận diện
Mã độc sử dụng mutex tên MakeAmericaGreatAgain để ngăn nhiều phiên bản chạy đồng thời trên cùng một máy. Đây là một chi tiết hữu ích trong phân tích malware và phát hiện xâm nhập.
Một số dấu hiệu nhận diện thực thi của Payload ransomware gồm:
- RECOVER_payload.txt
- Phần mở rộng .payload
- File log \??\C:\payload.log
- Mutex MakeAmericaGreatAgain
IOC liên quan đến Payload ransomware
Dữ liệu gốc không cung cấp đầy đủ IOC theo định dạng IP, domain hay hash. Các IOC trích xuất được từ hành vi và artefact của Payload ransomware gồm:
- Mutex: MakeAmericaGreatAgain
- Ransom note: RECOVER_payload.txt
- File extension: .payload
- Log file: \??\C:\payload.log
- Fencing marker: Các footer 56 byte cuối tệp mã hóa
Với các chỉ số này, đội ngũ phát hiện tấn công có thể xây dựng rule cho EDR, SIEM hoặc YARA dựa trên tên file, mutex và hành vi xóa shadow copy.
Giám sát và phản ứng sự cố
Do Payload ransomware xóa log và tắt dịch vụ sao lưu, việc phát hiện sớm cần dựa vào quan sát hành vi. Các dấu hiệu nên ưu tiên theo dõi gồm:
- Xuất hiện đồng thời RECOVER_payload.txt và file .payload.
- Tiến trình bất thường xóa shadow copies.
- Dừng hàng loạt dịch vụ sao lưu, database và office.
- Tệp log payload.log xuất hiện trên hệ thống.
Trong thực tế vận hành, việc duy trì offline backups và bảo vệ dịch vụ shadow copy ở cấp hạ tầng là rất quan trọng. Nếu sao lưu được tách biệt và không thể truy cập từ phiên làm việc bị xâm nhập, ảnh hưởng của cuộc tấn công mạng sẽ giảm đáng kể.
Chuỗi mã hóa và dấu hiệu kỹ thuật đáng chú ý
Payload ransomware không chỉ mã hóa bằng ChaCha20 mà còn dùng Curve25519 ECDH để bảo vệ khóa theo từng tệp. Sự kết hợp này khiến việc brute-force hoặc giải mã ngoại tuyến gần như không khả thi nếu không có khóa riêng của toán tử.
Mã độc cũng gọi trực tiếp Windows NT API thay vì dùng các hàm user-mode thông thường. Cách tiếp cận này giúp nó giảm khả năng bị các công cụ giám sát mức cao phát hiện. Đây là điểm kỹ thuật quan trọng trong phân tích mối đe dọa mạng và thiết kế rule phòng thủ.
Payload ransomware hiện được xem là một chiến dịch ransomware đang phát triển, với hành vi mã hóa có tổ chức, xóa dấu vết bài bản và khả năng thích nghi trên nhiều cấu hình Windows. Việc theo dõi leak site, mẫu nạn nhân và thay đổi mã nguồn là cần thiết để phục vụ an toàn thông tin và bảo mật mạng.
