Netcrook Logo
👤 SECPULSE
🗓️ 18 Apr 2026   🗂️ Cyber Warfare    

Dalle Ombre: Come Payouts King è Sorto dalle Ceneri di BlackBasta

Un nuovo gruppo ransomware con radici antiche sta usando un’astuta ingegneria sociale e una crittografia avanzata per devastare organizzazioni in tutto il mondo.

Tutto è iniziato con una telefonata: un “tecnico IT” che offriva aiuto urgente. Pochi minuti dopo, i dati di un’azienda erano bloccati dietro una crittografia infrangibile, e gli hacker noti come Payouts King avevano colpito di nuovo. Questa non è solo un’altra storia di ransomware. L’emergere di Payouts King segna l’evoluzione del cybercrimine, con legami inquietanti con il famigerato sindacato BlackBasta e un nuovo manuale per l’estorsione digitale.

Dentro il manuale operativo di Payouts King

Dopo la clamorosa fuga di dati del 2025 che ha esposto i segreti di BlackBasta, molti credevano che il gruppo fosse finito. Ma i cybercriminali dietro i loro attacchi più efficaci non si sono ritirati: si sono adattati. All’inizio del 2026, i ricercatori hanno iniziato a notare una serie di intrusioni con metodi inquietantemente familiari: una raffica di spam, seguita da telefonate convincenti di impostori che si spacciavano per supporto IT. Le vittime vengono indotte a partecipare a una riunione su Microsoft Teams e ad aprire Quick Assist, consegnando inconsapevolmente le chiavi delle loro reti.

Una volta dentro, Payouts King distribuisce malware con una sofisticazione tecnica che lo distingue. Il codice costruisce dinamicamente le proprie istruzioni in memoria, rendendosi quasi invisibile agli strumenti di sicurezza tradizionali. Algoritmi di checksum e hashing personalizzati - unici per ogni attacco - ostacolano l’analisi automatizzata. Persino l’interfaccia a riga di comando del malware è pesantemente offuscata, richiedendo parametri segreti per attivarsi, cosa che manda in crisi la maggior parte degli ambienti sandbox progettati per catturare il malware in azione.

Crittografia all’avanguardia, efficienza spietata

Payouts King non si accontenta di tattiche ransomware preconfezionate. Il loro malware decide come cifrare i file in base a dimensione e tipo: i file piccoli e alcune estensioni vengono bloccati completamente, mentre i file grandi vengono divisi in 13 blocchi, con metà di ciascun blocco cifrata per massimizzare velocità e danni. File di backup temporanei (.esVnyj) evitano la perdita accidentale di dati se l’attacco viene interrotto, ma una volta completata la cifratura, i file originali vengono rinominati con l’estensione “.ZWIAAW”.

La competenza tecnica del gruppo non finisce qui. Il malware elimina le copie shadow di Windows e cancella i log degli eventi, distruggendo le prove forensi e rendendo il ripristino quasi impossibile senza la chiave di decrittazione. La nota di riscatto - lasciata come “readme_locker.txt” - è un cupo avvertimento finale.

Difesa nell’era dell’inganno

Sconfiggere Payouts King richiede più di un buon software. Le organizzazioni devono formare i dipendenti a riconoscere l’ingegneria sociale, imporre l’autenticazione a più fattori ovunque e monitorare con attenzione l’uso degli strumenti di accesso remoto. Man mano che l’underground del cybercrimine evolve, anche le nostre difese devono evolvere - perché la prossima telefonata potrebbe essere l’inizio di un incubo da milioni di dollari.

TECHCROOK

Per contrastare ransomware che entrano tramite phishing, vishing e abuso di strumenti di accesso remoto, una soluzione concreta è Bitdefender Total Security, suite di protezione multi-dispositivo con motore antimalware e anti-ransomware, analisi comportamentale e difesa in tempo reale contro esecuzioni sospette e modifiche massive ai file. Integra moduli anti-phishing e protezione web per ridurre il rischio di clic su link malevoli, oltre a controlli sulla rete e sul firewall per limitare movimenti laterali dopo un accesso iniziale. Utile in contesti aziendali piccoli e domestici, va affiancato a MFA e formazione, ma aggiunge un livello tecnico immediato contro cifratura e persistenza. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Vishing: Il vishing è una truffa telefonica in cui gli aggressori si spacciano per entità fidate per rubare informazioni sensibili o denaro tramite chiamate ingannevoli.
  • Strumenti di accesso remoto: Gli strumenti di accesso remoto consentono agli utenti di connettersi e controllare computer a distanza. Pur essendo utili per l’assistenza, possono anche essere sfruttati dagli hacker.
  • Offuscamento: L’offuscamento è la pratica di mascherare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.

Conclusione: Come dimostra Payouts King, i cybercriminali affinano costantemente le loro tattiche, fondendo manipolazione psicologica e innovazione tecnica. Per chi difende, vigilanza, formazione e sicurezza a più livelli sono più essenziali che mai nella lotta contro la prossima generazione di ransomware.

Payouts King ransomware social engineering
SECPULSE SECPULSE
SOC Detection Lead
← Back to news