Afiq Sam - stock.adobe.com
Payouts King : l’héritage de BlackBasta
L’analyse de Payouts King menée par les équipes des ThreatLabz de ZScaler conduit sur les traces du disparu groupe BlackBasta.
Le groupe Payouts King est apparu en avril 2025, dans la foulée de la disparition de Black Basta. Cette dissolution, accompagnée de la fuite de discussions internes exposant les rouages du groupe, n’a pas interrompu les activités des acteurs impliqués.
Les anciens affiliés et courtiers d’accès initiaux (IAB) ont réorienté leurs opérations vers de nouvelles familles, telles que Cactus voire ThreeAM et Payouts King. Ces groupes réutilisent des infrastructures et des méthodes opérationnelles communes. Selon les chercheurs de Zscaler, « l’émergence de Payouts King, propulsée par d’anciens affiliés de BlackBasta, souligne la nature persistante et adaptative de l’écosystème des ransomwares ».
Vecteurs d’accès et établissement de la persistance
La méthodologie d’intrusion repose sur une combinaison de « spam bombing », de phishing et de vishing. Les attaquants envoient des courriels indésirables en masse puis usurpent l’identité du personnel informatique de l’organisation cible. Les victimes sont incitées à rejoindre un appel Microsoft Teams et à utiliser l’outil Quick Assist, permettant aux attaquants de déployer un malware et d’établir un point d’ancrage sur le réseau. Pour assurer la persistance, Payouts King crée des tâches planifiées nommées exécutées sous le compte SYSTEM. Payouts King emploie en outre des méthodes sophistiquées pour contourner les solutions EDR et antivirus.
Mécanismes de chiffrement et impact sur les données
Le ransomware utilise un chiffrement hybride combinant RSA 4096 bits et AES 256 bits en mode compteur (CTR). La stratégie de chiffrement est sélective : les fichiers de moins de 10 Mo sont intégralement chiffrés, tandis que les fichiers plus volumineux sont divisés en 13 blocs, dont seulement la moitié de chaque bloc est chiffrée pour optimiser les performances.
Le renommage des fichiers est effectué selon une technique discrète visant à échapper à la surveillance des outils de protection. Le processus se conclut par la suppression des Windows shadow copies, le vidage de la corbeille, l’effacement des journaux d’événements et l’affichage d’une note de rançon nommée sur le bureau de la victime.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Akira : ce que l’analyse révèle de l’explosion de ses activités
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : NightSpire, une opération à guichet fermé qui s'est ouverte
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : que sait-on de SafePay ?
Par: Valéry Rieß-Marchive
-
![]()
Stockage : NetApp renforce ses baies contre les déchiffrements quantiques
Par: Yann Serra
