一个2025年4月才冒头的新团伙,凭什么让安全分析师高度警觉?
Payouts King的诡异之处不在于技术多先进,而在于它的"血统"——Zscaler ThreatLabz追踪发现,这个组织的攻击手法与前BlackBasta成员高度吻合。老牌勒索团伙倒台后,核心成员并未消散,而是像细胞分裂般重组为新品牌。
这揭示了一个被低估的安全威胁:勒索软件黑产的"组织资产"可以跨品牌迁移,技术、人脉、攻击剧本都能打包带走。
BlackBasta的三年兴衰与意外崩塌
要理解Payouts King的来历,得先复盘BlackBasta的轨迹。
2022年2月,BlackBasta正式上线,接替当时已臭名昭著的Conti勒索团伙。Conti本身在2022年因内部聊天记录泄露而解体,BlackBasta继承了其部分资源,迅速成为活跃程度最高的勒索组织之一。
这个团伙运营了近三年。2025年2月,其内部聊天日志被公开泄露,成员身份与运作机制曝光,组织随即崩溃。
泄露事件成为转折点——但故事并未结束。
BlackBasta的前附属成员没有退出江湖。他们重新集结,以其他勒索软件家族的名义继续活动,包括Cactus,以及更近的Payouts King。
黑产组织的"品牌"可以死亡,但"人力资本"和"运营能力"具有惊人的流动性。
攻击链复盘:从垃圾邮件到远程控制
Zscaler ThreatLabz分析师从2026年初开始识别到与BlackBasta早期接入经纪人(initial access brokers)模式一致的勒索活动,并高度确信地将其中多起攻击归因于Payouts King。
研究人员指出,这些攻击的技术、战术与程序(TTPs)与BlackBasta附属成员的手法高度相似,尤其体现在三个环节的组合:垃圾邮件轰炸、基于微软Teams的社会工程学,以及对合法Windows工具Quick Assist的滥用。
具体攻击流程如下:
第一阶段,受害者被海量垃圾邮件淹没。这不是随机骚扰,而是为后续接触制造"合理性"——当IT问题似乎频发时,用户对"技术支持"来电的警惕性会降低。
第二阶段,攻击者冒充IT人员通过Microsoft Teams联系目标。Teams作为企业信任的内部协作工具,其来电标识比陌生电话更具欺骗性。
第三阶段,受害者被诱导通过Teams通话授予远程访问权限。攻击者在此阶段植入Payouts King的勒索载荷。
一旦获得网络立足点,该组织会窃取大量敏感数据,然后有选择地加密文件——这种"窃取+加密"的双轨策略,比单纯加密更具勒索效力。
技术解剖:4096位加密与性能优化
Payouts King的技术实现显示出专业级设计。
加密方案采用4096位RSA与256位AES计数器模式。每个文件使用伪随机生成的密钥和初始化向量加密,加密参数以487字节结构化格式存储,文件头标记为"CRPT"魔数。
针对大文件有专门的性能策略:超过10MB的文件被切分为13个块,仅部分加密每个块。这是现代勒索软件的常见优化,目的是在暴露风险与加密速度之间取得平衡。
更值得关注的是其反检测机制。Payouts King从底层设计就瞄准安全工具规避,采用多种混淆手段:基于堆栈的字符串加密、通过哈希解析Windows API函数,以及使用0xBDC65592多项式值的自定义CRC校验算法。
这些技术选择表明开发团队具备成熟的逆向工程经验,熟悉安全产品的检测逻辑。
勒索运营:Tor站点与TOX通道
在勒索执行层面,Payouts King运营着一个可通过Tor网络访问的数据泄露站点,用于向受害者施压——不付款就公开窃取的信息。
赎金通知文件命名为"readme_locker.txt",放置于受害者桌面,通过TOX即时通讯平台提供联系渠道。TOX的选择并非偶然:该协议以去中心化和端到端加密著称,执法机构难以追踪通信链路。
从攻击基础设施到支付渠道,Payouts King的运营模式完全继承自BlackBasta验证过的成熟框架。
黑产"借壳"模式的商业逻辑
Payouts King的案例揭示了勒索软件经济的一个关键特征:组织能力的可迁移性。
传统认知中,安全威胁常与企业品牌绑定——"警惕BlackBasta""防范LockBit"。但当核心成员携带技术栈、客户名单、攻击剧本转投新品牌时,基于威胁情报的防御策略会出现盲区。
对攻击者而言,"换壳"有多重收益:
一是切割负面资产。BlackBasta因泄露事件信誉受损,新品牌可重置谈判筹码。
二是规避追踪。执法机构和安全厂商的IOC(入侵指标)库针对旧品牌积累,新组织需要重新建立画像。
三是灵活分润。不同勒索软件家族的分成模式各异,核心成员可选择最有利的合作结构。
这种"平台化"趋势意味着勒索软件黑产正在从团伙竞争转向能力聚合——顶级黑客提供勒索引擎,接入经纪人负责突破网络,谈判专家处理赎金沟通,各环节像乐高积木般重组。
防御启示:从"认牌子"到"认手法"
Payouts King的浮现对安全运营有直接影响。
威胁情报的价值正在从"已知坏人名单"转向"行为模式识别"。Zscaler的归因依据不是数字签名或基础设施重叠,而是TTPs的相似性——垃圾邮件+Teams社工+Quick Assist滥用这一组合,比任何哈希值都更难篡改。
企业侧需要重新审视信任边界。Microsoft Teams作为内部工具,其身份验证流程是否足以抵御冒充攻击?Quick Assist等合法远程工具的使用是否需要额外的审批日志?
技术层面,4096位RSA加密意味着一旦文件被锁,无密钥恢复在计算上不可行。防御重心必须前移至入侵检测——在载荷部署前识别异常行为。
勒索软件黑产的"借壳重生"能力,本质上是对安全行业碎片化响应的利用。当防御者还在更新黑名单时,攻击者已完成品牌切换。打破这种不对称,需要将防御体系从"威胁中心"转向"行为中心"——不认招牌,认动作。
热门跟贴