Seit Februar 2026 führt eine neue Ransomware-Gruppe unter dem Namen Payload aktive Double-Extortion-Kampagnen gegen Organisationen aus verschiedenen Sektoren und Regionen durch. In weniger als zwei Monaten beobachteter Aktivität hat die Gruppe sechsundzwanzig Opfer in sieben Ländern gemeldet, 2.603 Gigabyte exfiltrierter Daten deklariert und ein technisches Niveau demonstriert, das sie weit über opportunistische Ransomware-Operationen hinaushebt. Die Kombination aus ESXi-spezifischer Verschlüsselungslogik, ETW-Patching und einer von Beginn an voll funktionsfähigen Tor-basierten Infrastruktur deutet entweder auf erfahrene Betreiber oder auf Zugang zu einem ausgereiften Toolkit hin.
Payload betreibt zwei verschiedene Binärdateien, die ein gemeinsames kryptographisches Schema verwenden: Curve25519 ECDH kombiniert mit ChaCha20 für die Schlüsselgenerierung pro Datei. Die ESXi-Variante ist eine Linux-ELF64-Binärdatei von etwa 39.904 Bytes. Strings sind RC4-verschleiert mit dem Drei-Byte-Schlüssel FBI. Vor jeder Verschlüsselungsaktivität führt die Binärdatei eine Anti-Debug-Prüfung über /proc/self/status durch und analysiert dann VMwares vmInventory.xml, um alle Datastores und VMDK-Pfade zu enumerieren. Virtuelle Maschinen werden über vim-cmd ausgeschaltet, bevor die Verschlüsselung beginnt. Thread-Pool-Worker tragen den Namen FBIthread-pool — ein forensisches Artefakt, das in der Standardprozessauflistung sichtbar ist. Die Lösegeldforderung ersetzt die ESXi-Webverwaltungsschnittstelle unter /usr/lib/vmware/hostd/docroot/ui/welcome.txt.
Die Windows-Variante, kompiliert am 17. Februar 2026, leitet sich aus der Babuk-Codebasis ab, die im September 2021 geleakt wurde, wobei HC-128 durch ChaCha20 ersetzt und erhebliche Anti-Forensik-Ergänzungen vorgenommen wurden. Zu den wichtigsten Fähigkeiten gehört das ETW-Patching von vier ntdll.dll-Funktionen — EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer und EtwRegister — wodurch EDR-Lösungen, die auf ETW-Telemetrie angewiesen sind, lautlos geblendet werden. Der Mutex MakeAmericaGreatAgain ist ein zuverlässiger Betreiber-Fingerabdruck. Die Binärdatei beendet vierunddreißig Dienste, darunter Veeam, Acronis, BackupExec, Symantec und Sophos, löscht Windows-Ereignisprotokolle, entfernt Schattenkopien und löscht sich selbst über einen NTFS Alternate Data Stream, ohne einen Child-Prozess zu erzeugen.
Zur Erkennung: Einsatz der von Abdullah Islam veröffentlichten YARA-Regel für die ESXi-Variante. Überwachung auf den Mutex MakeAmericaGreatAgain, die Erweiterung .payload und ETW-Funktionspatches in ntdll.dll. Jeder EDR-Stack, der ausschließlich auf ETW-basierter Telemetrie beruht, sollte umgehend überprüft werden. ESXi-Management-Schnittstellen müssen hinter einem dedizierten Management-VLAN betrieben werden. Unveränderlicher oder air-gapped Backup-Speicher bleibt der einzig zuverlässige Wiederherstellungspfad, wenn die Verschlüsselung vor der Erkennung abgeschlossen wird.
Quellen
- GBHackers – Payload ransomware hits Windows and ESXi with Babuk-style encryption : https://gbhackers.com/payload-ransomware/
- CyberSecurityNews – New Payload ransomware uses Babuk-style encryption against Windows and ESXi systems : https://cybersecuritynews.com/new-payload-ransomware-uses-babuk-style-encryption/
- CyberPress – Payload hits Windows and ESXi : https://cyberpress.org/payload-hits-windows-esxi/
Nicht nachdenken, patchen!
Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/