Il nome BlackBasta non compare più come prima, ma il suo ecosistema non ha affatto smesso di muoversi. Nel report pubblicato il 16 aprile 2026, Zscaler ThreatLabz sostiene di avere osservato, dall’inizio del 2026, attività ransomware coerenti con quelle dei precedenti broker di accesso iniziale legati a BlackBasta, con un’attribuzione ad alta confidenza in alcuni casi al gruppo Payouts King. Per Zscaler, si tratta di una realtà emersa nell’aprile 2025, finora rimasta relativamente poco nota, ma già capace di unire furto di grandi volumi di dati e cifratura selettiva dei file. Il contesto aiuta a capire perché il report meriti attenzione. BlackBasta era emerso nel 2022 come successore di Conti, aveva colpito oltre 500 organizzazioni a livello globale secondo le autorità statunitensi e ha subito un duro colpo dopo la diffusione online delle sue chat interne nel febbraio 2025. Da allora diversi ricercatori hanno rilevato una dispersione di operatori, competenze e tattiche verso altri marchi ransomware, tra cui Cactus e altri cluster criminali.
Dall’email bombing a Quick Assist: il vettore iniziale resta umano
Uno degli aspetti più interessanti del report riguarda la continuità tattica. Zscaler descrive attacchi che riprendono uno schema ormai noto: spam bombing, contatto successivo da parte di un falso supporto IT, invito a entrare in una chiamata Microsoft Teams e apertura di una sessione Quick Assist. Se la vittima accetta, l’attore malevolo ottiene il primo accesso utile per installare malware e consolidare la presenza nella rete.
Questo schema trova riscontro anche in fonti esterne. Microsoft ha documentato proprio il 18 aprile 2026 intrusioni in cui attori ostili impersonano helpdesk o personale IT via Teams per convincere gli utenti a concedere assistenza remota, per poi usare strumenti leciti, protocolli amministrativi nativi e software di gestione remota a fini di movimento laterale ed esfiltrazione. Nella stessa documentazione Microsoft sottolinea che l’intera catena si regge più sulla persuasione dell’utente che su una vulnerabilità tecnica della piattaforma.
Anche ReliaQuest ha osservato campagne recenti molto vicine al vecchio manuale operativo di BlackBasta: email bombing, impersonificazione dell’IT, abuso di strumenti RMM e focalizzazione su utenti ad alto valore. La società evita attribuzioni assolute, ma ritiene molto probabile il coinvolgimento di ex affiliati BlackBasta o di operatori che ne hanno ereditato i metodi.
Perché Payouts King merita attenzione
Nel report di Zscaler, Payouts King non appare come una semplice variante cosmetica. Il malware presenta un impianto tecnico solido, con più livelli di offuscamento e un’attenzione chiara all’elusione di antivirus ed EDR. Gli analisti descrivono stringhe costruite sullo stack, import di API Windows risolti tramite hash, uso congiunto di FNV1 e di un algoritmo CRC personalizzato, oltre a valori seed distinti per i singoli hash. In pratica, un insieme di accorgimenti che rende più difficile ricostruire il comportamento del campione con strumenti automatici o tabelle precompilate. C’è poi un dettaglio interessante sul piano anti-analisi: per impostazione predefinita il ransomware non cifra i file se non riceve il parametro -i con un valore il cui checksum CRC corrisponde a quello atteso. Secondo Zscaler, si tratta con ogni probabilità di una misura pensata per ostacolare sandbox e ambienti di analisi automatica.
Persistenza, privilegi elevati e cancellazione delle tracce
Se gli operatori non disattivano alcune funzioni da riga di comando, Payouts King crea scheduled task di Windows con nomi che imitano attività Mozilla, come \Mozilla\UpdateTask e \Mozilla\ElevateTask, con esecuzione come SYSTEM. Il malware apre pipe verso cmd.exe, invia i comandi necessari, controlla la comparsa della stringa SUCCESS, avvia subito il task di elevazione e poi cancella il task per ridurre le tracce forensi.
Dopo la fase di cifratura, il malware elimina anche le shadow copies con vssadmin.exe delete shadows /all /quiet, svuota il cestino e cancella i log eventi di Windows. Sono mosse classiche nel mondo ransomware, ma il loro inserimento in una catena già ricca di tecniche evasive alza il livello di complessità dell’incidente.
La cifratura: forte, selettiva e orientata alla velocità
Sul piano crittografico, Zscaler indica l’uso di RSA a 4.096 bit e AES a 256 bit in modalità CTR. Ogni file riceve chiave e nonce pseudocasuali; i parametri di cifratura finiscono in una struttura RSA da 487 byte posta in coda al contenuto cifrato. Nel codice compare anche il supporto a ChaCha20, ma i campioni analizzati da ThreatLabz hanno usato solo AES.
La logica di cifratura non punta sempre al file intero. Se l’estensione rientra in una lista precisa, o se il file pesa meno di circa 10 MB, il malware cifra tutto. Per i file più grandi, invece, divide il contenuto in 13 blocchi e cifra solo metà di ciascun blocco, così da accelerare l’operazione e mantenere comunque il file inutilizzabile. È una scelta nota nel panorama ransomware, perché riduce i tempi e aumenta le chance di completare l’attacco prima dell’intervento difensivo.
L’appendice del report mostra anche la tipologia di estensioni che Payouts King tratta con particolare attenzione: molte riguardano database, archivi strutturati e file business-critical, da .sql a .sqlite, fino a numerosi formati collegati a sistemi gestionali e repository dati. Non è un dettaglio marginale: indica una priorità chiara verso asset ad alto valore operativo e informativo.
EDR nel mirino: il malware cerca di spegnere la difesa prima della cifratura
Uno dei passaggi più delicati riguarda il tentativo di chiudere i processi che possono bloccare l’apertura dei file. Se il malware incontra una sharing violation, enumera i processi in esecuzione, calcola un checksum sul nome e lo confronta con una lista interna di 131 valori. Gran parte di questi corrisponde a prodotti antivirus ed EDR. Nell’appendice del report compaiono, tra gli altri, processi associati a Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Malwarebytes, ESET, McAfee, Trend Micro e altri strumenti di protezione endpoint.
L’aspetto più rilevante, però, sta nel modo in cui Payouts King prova a terminare questi processi: non ricorre alle normali API Windows più osservate dai prodotti di sicurezza, ma a system call dirette risolte a runtime tramite scansione della export table di ntdll. Zscaler associa questo meccanismo a funzioni come ZwOpenProcess, ZwTerminateProcess, ZwQuerySystemInformation e altre chiamate chiave. È un approccio pensato per eludere hook e controlli che agiscono a livelli più alti.
Una nota di riscatto opzionale e un’impronta che punta all’estorsione
Un altro dettaglio utile per la lettura del fenomeno riguarda la nota di riscatto. Payouts King non la scrive sul disco in modo automatico: la genera solo se riceve il parametro -note. Quando presente, la nota viene salvata come readme_locker.txt sul desktop della vittima e contiene istruzioni di contatto via TOX, oltre al riferimento al data leak site del gruppo via Tor. Questo suggerisce un’operatività flessibile, che può adattarsi a fasi diverse dell’estorsione.
Zscaler segnala inoltre due nomi di rilevazione, Win64.Ransom.PayoutsKing e W64/Payoutsking-ZRaa!Eldorado, e pubblica due hash SHA-256 dei campioni analizzati: 335ad12a950f885073acdfebb250c93fb28ca3f374bbba5189986d9234dcbff4 e d68ce82e82801cd487f9cd2d24f7b30e353cafd0704dcdf0bb8f12822d4227c2.
Il punto vero non è il nome del gruppo, ma la maturità del modello
Il dato che emerge con più forza non riguarda solo Payouts King come etichetta, ma la persistenza di un modello operativo che sopravvive ai rebrand e alle fughe di notizie. Le chat di BlackBasta hanno esposto uomini, frizioni interne e procedure, ma non hanno cancellato competenze, relazioni e playbook. Il risultato, secondo il quadro che arriva da Zscaler, Microsoft e ReliaQuest, è un ecosistema che continua a colpire con metodi rapidi, credibili e difficili da intercettare in tempo se l’organizzazione non presidia bene il fattore umano, i flussi di collaborazione e gli strumenti di assistenza remota.
