Payouts King herda táticas do BlackBasta
O grupo de ransomware Payouts King surgiu como ameaça de alto impacto em meados de 2025, operado por ex-afiliados da extinta gangue BlackBasta — que foi desmantelada em fevereiro de 2025 após vazamento de chats internos. A Zscaler ThreatLabz detectou campanhas ativas no início de 2026 com técnicas idênticas às do BlackBasta: bombardeio de spam, phishing combinado com vishing e abuso do Microsoft Teams para se passar por suporte de TI. Os ataques resultam em exfiltração de dados e criptografia parcial de arquivos, sem privilégios de administrador.
Acesso inicial por engenharia social
A cadeia de ataque segue um padrão já documentado em grupos anteriores. Primeiro, os atacantes inundam a vítima com e-mails de spam. Em seguida, iniciam ligações por Microsoft Teams ou telefone, personificando técnicos de TI. A vítima é convencida a abrir o Quick Assist, ferramenta legítima de acesso remoto do Windows, dando aos atacantes controle direto do desktop. A partir daí, o ransomware é implantado e a persistência é estabelecida via tarefas agendadas com execução indireta de comandos, elevando privilégios para SYSTEM.
Como o ransomware evita detecção
O Payouts King combina múltiplas camadas de ofuscação. Strings são construídas dinamicamente na pilha de memória — sem valores fixos no binário. Chamadas de API do Windows são resolvidas por hashing (FNV1 combinado com CRC personalizado), e as sementes de hash variam por string, inviabilizando detecção baseada em hash pré-computado. O binário exige um parâmetro -i com checksum CRC válido; sem ele, o malware permanece inativo, o que reduz exposição em sandboxes automatizadas.
O mecanismo principal de evasão é o uso de syscalls diretas. O ransomware resolve dinamicamente as funções Zw* da ntdll em tempo de execução, derivando os números de syscall por endereços ordenados. Isso contorna completamente os hooks de modo usuário instalados por soluções EDR, permitindo que o malware encerre processos de antivírus e monitoring de forma silenciosa.
| Função Zw* | Checksum CRC |
|---|---|
| ZwTerminateProcess | 0x469424d5 |
| ZwOpenProcess | 0x58ad11ee |
| ZwQueryInformationProcess | 0x1993a634 |
| ZwOpenFile | 0x28a29ebf |
| ZwQuerySystemInformation | 0xa0595508 |
Modelo de criptografia e destruição
O ransomware emprega criptografia híbrida com RSA de 4096 bits para proteger as chaves AES-256-CTR. Arquivos menores que 10 MB são cifrados por completo; os maiores recebem criptografia parcial em blocos segmentados. Diretórios críticos do sistema são preservados para evitar instabilidade antes da exibição do resgate. Após a criptografia, o malware deleta cópias de sombra com vssadmin, limpa logs de eventos via EvtClearLog e esvazia a lixeira — um conjunto de ações anti-forenses que dificulta a investigação posterior.
Como se defender deste ransomware
- Monitore ferramentas de acesso remoto: Quick Assist e Microsoft Teams são vetores recorrentes em campanhas de ransomware. Restrinja o uso corporativo dessas ferramentas e exija MFA para sessões de suporte.
- Detecte abuso de syscall: implante detecção comportamental capaz de identificar invocação anômala de Zw* sem correspondência com processos legítimos, e monitore tentativas de término de processos de segurança como MsMpEng.exe e CSFalconService.exe.
- Valide parâmetros de execução: a dependência do checksum CRC no parâmetro
-icria janela para heurísticas que flagrem binários com comportamento dormante em ambientes de análise.
Este grupo demonstra que o ecossistema do ransomware não desaparece com a prisão ou o colapso de uma gangue — os operadores se reorganizam sob novas marcas, levando técnicas aprimoradas. A evolução constante de grupos de ransomware reforça a necessidade de defesa em camadas com foco em detecção comportamental. Casos como o ransomware que evadiu EDR de três fornecedores mostram que ofuscação avançada e syscalls diretas são tendência consolidada.