Mastodawn

📢 Payouts King : nouveau ransomware lié à d'anciens courtiers d'accès de BlackBasta
📝 ## 🔍 Contexte

Source : Zscaler ThreatLabz, publiée le 16 avril 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-04-16-payouts-king-nouveau-ransomware-lie-a-d-anciens-courtiers-d-acces-de-blackbasta/
🌐 source : https://www.zscaler.com/blogs/security-research/payouts-king-takes-aim-ransomware-throne
#BlackBasta #IOC #Cyberveille

Payouts King : nouveau ransomware lié à d'anciens courtiers d'accès de BlackBasta

🔍 Contexte Source : Zscaler ThreatLabz, publiée le 16 avril 2026. Cette analyse technique détaille le fonctionnement du ransomware Payouts King, attribué à d’anciens initial access brokers (IAB) de BlackBasta, actif discrètement depuis environ un an. 🎯 Vecteur d’accès initial Les attaquants combinent plusieurs techniques : Spam bombing massif ciblant les victimes Phishing et vishing via Microsoft Teams, en usurpant l’identité d’un membre du support IT Instruction à la victime d’initier Quick Assist pour déployer le malware et établir un point d’ancrage réseau 🛠️ Techniques d’obfuscation et d’évasion Construction et déchiffrement de chaînes sur la pile (stack-based strings) Résolution des fonctions Windows API par hash (FNV1 avec seed unique par valeur + algorithme CRC personnalisé) Arguments de ligne de commande obfusqués via CRC checksum custom Paramètre -i obligatoire pour déclencher le chiffrement (anti-sandbox) Utilisation de syscalls directs (Zw*) pour contourner les hooks AV/EDR Renommage des fichiers via SetFileInformationByHandle (FileRenameInfo) pour éviter la détection sur MoveFile/MoveFileEx 🔐 Chiffrement des fichiers Combinaison RSA 4096 bits + AES-256 en mode CTR (bibliothèque OpenSSL liée statiquement) Support code pour ChaCha20 présent mais non utilisé dans les échantillons analysés Extension ajoutée aux fichiers chiffrés : .ZWIAAW Fichier de sauvegarde temporaire : extension .esVnyj Note de rançon : readme_locker.txt (déposée uniquement si -note est spécifié) Chiffrement partiel (13 blocs, 50%) pour les fichiers > 10 Mo (optimisation performance) ⚙️ Persistance et élévation de privilèges Tâches planifiées créées via schtasks.exe sous \Mozilla\UpdateTask et \Mozilla\ElevateTask Exécution en tant que SYSTEM Suppression de la tâche d’élévation après exécution pour effacer les traces forensiques 🧹 Anti-forensique Suppression des shadow copies : vssadmin.exe delete shadows /all /quiet Vidage de la corbeille via SHEmptyRecycleBinW Effacement des journaux d’événements Windows via EvtClearLog Terminaison de 131 processus AV/EDR identifiés par checksum 📡 Infrastructure Contact via TOX Site de fuite de données accessible via Tor Vol massif de données avant déploiement du ransomware (double extorsion) 📄 Type d’article Analyse technique approfondie publiée par ThreatLabz (Zscaler), visant à documenter les capacités techniques de Payouts King et à fournir des éléments d’attribution et de détection.

CyberVeille

ransomNews Feb 9

⚠️ Black Basta resurfaces with refined ransomware tactics Black Basta ransomware has re-emerged with updated tooling, tighter victim targeting, and improved lateral movement techniques, signaling an operational revival after months of reduced activity. #ransomNews #BlackBasta #ransomware

Marcel SIneM(S)US Jan 25

Internationale Fahndung nach Kopf von #BlackBasta - inside-it.ch https://www.inside-it.ch/internationale-fahndung-nach-kopf-von-black-basta-20260116 #Ransomware #Malware #CyberCrime

Internationale Fahndung nach Kopf von Black Basta

Mehrere europäische Strafverfolgungsbehörden kooperieren, um den Kopf der Ransomware-Bande "Black Basta" festzunehmen.

TechNadu Jan 19

German police have identified the alleged ringleader of Black Basta ransomware, placing him on the EU most-wanted list with an INTERPOL Red Notice.

Black Basta is linked to ~700 global attacks since 2022.

https://www.technadu.com/german-authorities-identify-black-basta-ringleader-now-added-to-eu-most-wanted-and-interpol-red-notice-lists/618533/

Does naming leadership actually disrupt RaaS operations long-term?

#InfoSec #Ransomware #BlackBasta #CyberCrime

The New Oil Jan 19

#BlackBasta boss makes it onto #Interpol's 'Red Notice' list

https://www.bleepingcomputer.com/news/security/black-basta-boss-makes-it-onto-interpols-red-notice-list/

#cybercrime #ransomware

Black Basta boss makes it onto Interpol's 'Red Notice' list

The identity of the Black Basta ransomware gang leader has been confirmed by law enforcement in Ukraine and Germany, and the individual has been added to the wanted list of Europol and Interpol.

BleepingComputer

Tommy Kavanagh Jan 16

#cyber #cyberSecurity #conti #blackBasta

https://infosec.exchange/@BleepingComputer/115906316667250247
[email protected] - The identity of the Black Basta ransomware gang leader has been confirmed by law enforcement in Ukraine and Germany, and the individual has been added to the wanted list of Europol and Interpol.

https://www.bleepingcomputer.com/news/security/black-basta-boss-makes-it-onto-interpols-red-notice-list/

BleepingComputer (@[email protected])

The identity of the Black Basta ransomware gang leader has been confirmed by law enforcement in Ukraine and Germany, and the individual has been added to the wanted list of Europol and Interpol. https://www.bleepingcomputer.com/news/security/black-basta-boss-makes-it-onto-interpols-red-notice-list/

Infosec Exchange

chirp Oct 22

Group 78 #europe #europol #eurojust #usa #fbi #intel #blackbasta [ https://www.lemagit.fr/tribune/Enquete-Tramp-Black-Basta-la-source-qui-en-savait-trop ] [ https://www.lemonde.fr/en/pixels/article/2025/10/16/revelations-on-group-78-the-secret-us-task-force-that-fights-cybercriminals_6746474_13.html ] [ https://www.zeit.de/digital/2025-10/ransomware-blackbasta-fbi-bka ]

Enquête Tramp/Black Basta : la source qui en savait trop | LeMagIT

Selon Le Monde et Die Zeit, un mystérieux « Group 78 » aurait organisé des fuites d’information sur le groupe de rançongiciel Black Basta, visant notamment à les déstabiliser. Ai-je compté parmi leurs destinataires ?

LeMagIT

CyberVeille.ch Oct 19

📢 ICO inflige 14 M£ à Capita après l’attaque BlackBasta: 6+ M de dossiers compromis
📝 Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-19-ico-inflige-14-mps-a-capita-apres-lattaque-blackbasta-6-m-de-dossiers-compromis/
🌐 source : https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html
#BlackBasta #Capita #Cyberveille

ICO inflige 14 M£ à Capita après l’attaque BlackBasta: 6+ M de dossiers compromis

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité.

CyberVeille

gaby_wald Oct 16, 2025

Des nouvelles de la lutte contre le #CyberCrime par le #FBI : "Révélations sur le « Group 78 », une unité secrète américaine chargée de la lutte contre les cybercriminels" #Group78 #CyberSécurité #BlackBasta ...

https://www.lemonde.fr/pixels/article/2025/10/16/revelations-sur-le-group-78-une-unite-secrete-americaine-chargee-de-la-lutte-contre-les-cybercriminels_6647096_4408996.html

Révélations sur le « Group 78 », une unité secrète américaine chargée de la lutte contre les cybercriminels

En novembre 2024, la présentation de cette task force par le FBI à des policiers et des magistrats européens a choqué certains enquêteurs. Ils craignent notamment pour l’intégrité de leurs investigations.

Le Monde

Tinker ☀️Jun 23, 2025

Different Tinker.

#tinker #blackBasta #infoSec #hacking