Nhóm mã độc ransomware Payouts King đã nổi lên như một mối đe dọa an ninh mạng nghiêm trọng, tiếp nối hoạt động của nhóm BlackBasta đã ngừng hoạt động. Kể từ khi xuất hiện vào tháng 4 năm 2025, nhóm này đã lặng lẽ thực hiện các cuộc tấn công có chủ đích, kết hợp hành vi đánh cắp dữ liệu mạnh mẽ với mã hóa tệp có chọn lọc, trong khi vẫn nằm ngoài tầm kiểm soát rộng rãi.
Sự trỗi dậy của Payouts King và mối liên kết với BlackBasta
BlackBasta là một trong những nhóm ransomware tích cực nhất kể từ khi ra mắt vào tháng 2 năm 2022, kế thừa từ băng nhóm ransomware Conti khét tiếng. Nhóm này đã hoạt động gần ba năm trước khi sụp đổ vào tháng 2 năm 2025, khi các nhật ký trò chuyện nội bộ của chúng bị rò rỉ công khai, phơi bày các thành viên và cơ chế hoạt động bên trong.
Sau khi BlackBasta ngừng hoạt động, các chi nhánh cũ của chúng không biến mất. Thay vào đó, họ đã tập hợp lại và tiếp tục các hoạt động tội phạm dưới các họ ransomware khác nhau, bao gồm Cactus và gần đây hơn là Payouts King.
Các nhà phân tích Zscaler ThreatLabz đã xác định hoạt động ransomware phù hợp với các nhà môi giới truy cập ban đầu của BlackBasta bắt đầu vào đầu năm 2026. Một số cuộc tấn công này đã được Zscaler gán cho nhóm Payouts King ransomware với độ tin cậy cao.
Các nhà nghiên cứu lưu ý rằng nhiều cuộc tấn công này phản ánh chặt chẽ các kỹ thuật, chiến thuật và quy trình (TTPs) tương tự được sử dụng bởi các chi nhánh BlackBasta, đặc biệt là sự kết hợp của tấn công spam, kỹ thuật xã hội dựa trên Microsoft Teams và lạm dụng công cụ hợp pháp Quick Assist của Windows.
Kỹ thuật tấn công mạng và xâm nhập của Payouts King
Phương thức lây nhiễm ban đầu
Các nạn nhân thường bị tấn công bởi một lượng lớn email spam. Sau đó, một tác nhân đe dọa giả mạo nhân viên IT sẽ liên hệ và lừa nạn nhân cấp quyền truy cập từ xa thông qua cuộc gọi Microsoft Teams.
Phương pháp này cho phép kẻ tấn công thiết lập một điểm tựa ban đầu trên mạng của nạn nhân, mở đường cho các giai đoạn tiếp theo của cuộc tấn công mạng.
Giai đoạn hậu khai thác và vận hành
Một khi đã có quyền truy cập vào mạng của nạn nhân, Payouts King ransomware sẽ triển khai tải trọng ransomware của mình. Nhóm này sau đó đánh cắp một lượng lớn dữ liệu nhạy cảm, và sau đó mã hóa chọn lọc các tệp tin.
Nhóm này vận hành một trang rò rỉ dữ liệu có thể truy cập qua mạng Tor. Trang này được sử dụng để gây áp lực buộc nạn nhân phải trả tiền chuộc bằng cách đe dọa phát tán thông tin bị đánh cắp của họ.
Ghi chú đòi tiền chuộc, có tên “readme_locker.txt”, được thả trên màn hình máy tính của nạn nhân và cung cấp hướng dẫn liên hệ thông qua nền tảng nhắn tin TOX.
Phân tích kỹ thuật mã độc ransomware Payouts King
Cơ chế mã hóa
Bản thân mã độc ransomware Payouts King có độ phức tạp kỹ thuật cao. Nó sử dụng mã hóa RSA 4096-bit và AES 256-bit ở chế độ bộ đếm (counter mode) để khóa các tệp tin của nạn nhân.
Mỗi tệp được mã hóa bằng cách sử dụng một khóa và vector khởi tạo (IV) được tạo ngẫu nhiên giả. Các tham số mã hóa được lưu trữ trong một định dạng 487-byte có cấu trúc, bắt đầu bằng các magic bytes “CRPT”.
Đối với các tệp lớn vượt quá 10MB, Payouts King ransomware chia tệp thành 13 khối và chỉ mã hóa một phần mỗi khối. Đây là một tối ưu hóa hiệu suất phổ biến được thấy trong ransomware hiện đại nhằm tăng tốc độ tấn công.
Kỹ thuật né tránh phát hiện và chống phân tích
Payouts King ransomware được thiết kế để né tránh các công cụ bảo mật. Nó sử dụng một số phương pháp che giấu, bao gồm mã hóa chuỗi dựa trên stack, phân giải hàm API Windows thông qua băm (hashing), và một thuật toán kiểm tra tổng CRC tùy chỉnh với giá trị đa thức 0xBDC65592.
Các phương pháp này đánh bại các bảng băm đã tính toán trước thường được các nhà phân tích bảo mật sử dụng để đảo ngược kỹ thuật phần mềm độc hại một cách nhanh chóng, khiến việc phân tích tĩnh trở nên khó khăn hơn đáng kể.
Mã độc ransomware Payouts King này cũng sử dụng một cơ chế chống sandbox độc đáo. Theo mặc định, nó từ chối bắt đầu mã hóa tệp trừ khi một tham số nhận dạng cụ thể được truyền trên dòng lệnh, và tổng kiểm tra CRC của giá trị đó phải khớp với một kết quả mong đợi.
Điều này ngăn chặn hiệu quả phần mềm độc hại chạy trong môi trường sandbox tự động được sử dụng bởi các nhà cung cấp phần mềm diệt virus.
Để gây khó khăn hơn cho các công cụ bảo mật endpoint, Payouts King sử dụng các cuộc gọi hệ thống trực tiếp cấp thấp thay vì các cuộc gọi API Windows tiêu chuẩn khi chấm dứt các tiến trình bảo mật đang chạy. Nó xây dựng một bảng các số cuộc gọi hệ thống tại thời điểm chạy bằng cách duyệt qua bảng xuất của mô-đun ntdll, nhắm mục tiêu các tiến trình thuộc danh sách cứng 131 ứng dụng chống virus và EDR.
Hành vi sau mã hóa
Sau khi mã hóa tệp hoàn tất, Payouts King ransomware sẽ xóa các bản sao lưu Shadow Copies của Windows, xóa thùng rác và xóa nhật ký sự kiện Windows để cản trở điều tra pháp y.
Các chỉ số thỏa hiệp (IoC)
Dựa trên phân tích kỹ thuật, các chỉ số thỏa hiệp chính liên quan đến Payouts King ransomware bao gồm:
- Tên tệp ghi chú đòi tiền chuộc: readme_locker.txt
- Magic bytes của các tham số mã hóa: CRPT
- Giá trị đa thức CRC tùy chỉnh: 0xBDC65592
Khuyến nghị phòng thủ và an ninh mạng
Để tự bảo vệ khỏi Payouts King ransomware và các mối đe dọa mạng tương tự, các tổ chức nên đào tạo nhân viên nhận biết các chiến thuật kỹ thuật xã hội như tấn công spam và các cuộc gọi hỗ trợ IT giả mạo.
Thực thi xác thực đa yếu tố (MFA), hạn chế sử dụng các công cụ truy cập từ xa như Quick Assist chỉ cho nhân viên IT đã được xác minh, và triển khai phát hiện endpoint dựa trên hành vi cũng được khuyến nghị mạnh mẽ.
Săn lùng mối đe dọa chủ động kết hợp với cập nhật liên tục các kiểm soát bảo mật là điều cần thiết để theo kịp các nhóm ransomware liên tục thích ứng với các phương pháp của chúng. Điều này giúp tăng cường tổng thể an ninh mạng của tổ chức.
