Zscaler
ThreatLabz heeft de opkomst gesignaleerd van een nieuwe, technisch
geavanceerde ransomwaregroep: Payouts Kings. De groep lijkt nauw
verbonden met voormalig leden van BlackBasta en richt zich specifiek op
enterprises. De groep gebruikt daarbij geavanceerde aanvalstechnieken en
sterke ontwijkingsmechanismen.
Payouts
King is geen volledig nieuwe speler, maar een voortzetting van bestaande
groepen. Na het uiteenvallen van BlackBasta in 2025 zijn voormalige
affiliates actief gebleven en hebben zij hun activiteiten voortgezet
onder nieuwe namen. Verschillende aanvallen die begin 2026 zijn
waargenomen vertonen sterke overeenkomsten met eerdere
BlackBasta-campagnes. Dit gaat met name om de manier waarop initiële
toegang wordt verkregen en laterale bewegingen plaatsvinden binnen het
netwerk.
Effectieve
combinatie van spam bombing en phishing
Payouts
King maakt gebruik van een combinatie van social engineering en
technische exploitatie. Aanvallers starten vaak met ‘spam bombing’,
waarbij inboxen worden overspoeld met e-mails, gevolgd door phishing en
voice phishing (vishing). Hierbij doet de groep zich voor als IT-support
om slachtoffers te overtuigen toegang te verlenen.
Eenmaal
binnen maken de aanvallers gebruik van legitieme tools zoals Microsoft
Quick Assist en geplande taken (via
schtasks.exe)
om persistente en privilege-escalatie te realiseren. Daarnaast zet de
ransomware sterke encryptie in (RSA en AES-256) en geavanceerde
obfuscatie- en anti-analysetechnieken, waaronder API- en string-hashing,
om beveiligingsoplossingen zoals antivirus en EDR te omzeilen.
Geëxfiltreerde
data gebruikt als drukmiddel voor hoge losgeldsommen
De
groep richt zich vooral op enterprises. Data-exfiltratie en afpersing
staan bij deze aanvallen centraal. Naast het versleutelen van bestanden
wordt gestolen data gebruikt als drukmiddel om losgeld af te dwingen.
Deze aanpak
sluit aan bij een bredere trend in ransomware: de verschuiving van puur
encryptiegedreven aanvallen naar gecombineerde extortion-modellen.
De losgeldbrief bevat informatie over hoe contact op te
nemen met Payouts King en een link naar de dataleksite van de groep. De
dataleksite van Payouts King is hieronder weergegeven.
Traditionele beveiliging voldoet niet meer
De
opkomst van Payouts King laat zien dat ransomware zich blijft ontwikkelen
in zowel technische complexiteit als operationele volwassenheid. Voor
IT-teams en securityleiders betekent dit dat traditionele detectie- en
preventiemethoden alleen niet langer volstaan. Belangrijke
aandachtspunten zijn onder meer:
- Versterken van user awareness rond social
engineering
- Beperken en monitoren van remote support tools
- Implementeren van multi-factor authenticatie
(MFA)
- Proactieve threat hunting en gedragsanalyse
Payouts
King illustreert hoe snel ransomware-ecosystemen zich aanpassen. Door
bestaande aanvalstechnieken te combineren met nieuwe
ontwijkingstechnieken vormt deze groep een serieuze bedreiging voor
moderne IT-omgevingen.
Voor
organisaties is het essentieel om hun beveiligingsstrategie continu te
evalueren en aan te passen om deze nieuwe generatie ransomware-aanvallen
effectief te kunnen detecteren en stoppen.
Lees hier de volledige technische analyse van de
aanvallen van Payouts King.
Over Zscaler
Zscaler
(NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile,
efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange
platform beschermt duizenden klanten van cyberaanvallen en dataverlies
door gebruikers, apparaten en applicaties veilig met elkaar te verbinden
vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is
de op SASE-gebaseerde Zero Trust Exchange het grootste in-line cloud
security-platform ter wereld.
Voor meer informatie
Whizpr
Martine Korthals / Winnie Silvertand
E-mail:
zscaler@whizpr.nl