Zscaler ThreatLabz heeft een nieuwe ransomwaregroep geïdentificeerd die zich specifiek op enterprises richt: Payouts King. De groep bestaat vermoedelijk uit voormalige leden van BlackBasta en combineert social engineering met geavanceerde ontwijkingstechnieken. Data-exfiltratie en dubbele afpersing staan centraal in de aanpakstrategie.
Zscaler ThreatLabz meldt de opkomst van Payouts King, een ransomwaregroep die sterke overeenkomsten vertoont met BlackBasta-campagnes. Na het uiteenvallen van BlackBasta in 2025 zijn voormalige affiliates actief gebleven en hebben zij hun activiteiten voortgezet onder nieuwe namen. Aanvallen die begin 2026 zijn waargenomen, laten volgens Zscaler ThreatLabz dezelfde patronen zien als eerdere BlackBasta-operaties, met name in de manier waarop initiële toegang wordt verkregen en laterale bewegingen binnen netwerken plaatsvinden.
Spam bombing als opstap naar toegang
Payouts King zet een combinatie van social engineering en technische exploitatie in. Aanvallen beginnen doorgaans met spam bombing, waarbij inboxen worden overspoeld met e-mails. Vervolgens volgt phishing of voice phishing, waarbij de aanvallers zich voordoen als IT-support om slachtoffers te overtuigen toegang te verlenen.
Eenmaal binnen maakt de groep gebruik van legitieme tools zoals Microsoft Quick Assist en geplande taken via schtasks.exe om persistentie te verkrijgen en privileges te escaleren. Zscaler ThreatLabz geeft aan dat de ransomware sterke encryptie toepast, waaronder RSA en AES-256, aangevuld met obfuscatie- en anti-analysetechnieken zoals API- en string-hashing. Deze technieken zijn gericht op het omzeilen van beveiligingsoplossingen zoals antivirussoftware en EDR-systemen.
Dubbele afpersing als standaardmodel
De groep richt zich primair op enterprises en plaatst data-exfiltratie centraal in zijn aanpakstrategie. Naast het versleutelen van bestanden wordt gestolen data ingezet als drukmiddel om hoge losgeldsommen af te dwingen. Slachtoffers ontvangen een losgeldbrief met contactinformatie en een verwijzing naar de eigen dataleksite van de groep.
Volgens Zscaler ThreatLabz sluit deze werkwijze aan bij een bredere verschuiving in het ransomwarelandschap: van puur encryptiegedreven aanvallen naar gecombineerde extortion-modellen waarbij de dreiging van publicatie van gestolen data als extra pressiemiddel wordt gebruikt.
Aandachtspunten voor IT-teams
Zscaler ThreatLabz stelt dat traditionele detectie- en preventiemethoden niet langer volstaan tegen deze generatie aanvallen. Het bedrijf benoemt een aantal concrete aandachtspunten voor IT-teams en securityleiders:
– Versterken van gebruikersbewustzijn rondom social engineering
– Beperken en monitoren van remote support tools
– Implementeren van multifactorauthenticatie
– Proactieve threat hunting en gedragsanalyse
Payouts King laat zien hoe snel ransomware-ecosystemen zich aanpassen door bestaande aanvalstechnieken te combineren met nieuwe ontwijkingsmethoden. Zscaler ThreatLabz verwacht dat organisaties hun beveiligingsstrategie continu moeten evalueren om deze aanvallen effectief te detecteren en te stoppen.
