Payload ランサムウェアが Windows と ESXi を標的とし、Babuk スタイルの暗号化を採用

概要

新しいランサムウェア攻撃が Windows と VMware ESXi 環境を標的としており、Babuk スタイルの暗号化と強力な反証拠収集機能を組み合わせています。この攻撃は、データ窃取、ファイル暗号化、そして公開羞恥という二重の脅威モデルを採用しています。

Payload グループは、2026年2月17日から活動を開始し、現在では中規模から大規模の組織を対象としています。11の被害者が7カ国にまたがり、不動産、エネルギー、医療、通信、農業など、主に新興市場の組織が標的となっています。

2026年3月15日、Payload グループは、バーレーンの王立病院をその Tor 泄漏サイトに掲載し、110GBの機密データを窃取したと主張しました。また、3月23日までに身代金を支払うよう要求しています。

Payload ランサムウェアは、Curve25519 ECDH（curve25519-donna）を使用して鍵交換を行い、ChaCha20 を使用してファイルを暗号化しています。各ファイルに対して一意の鍵と非同期値が生成され、暗号化が完了するとメモリから安全に消去されます。

Payload ランサムウェアは、Windows と ESXi の両方のプラットフォームに対応しています。Windows では、ローカルおよびネットワークドライブをスキャンし、ファイルを .payload 拡張子でリネームし、バックアップやセキュリティツールを停止させ、シャドウコピーを削除します。

セキュリティテレメトリは、Payload を Babuk と誤認識するエンジンが多数存在することを示しています。しかし、Payload の背後にある完全なランサムウェアとしてのサービス（RaaS）エコシステムの存在は、まだ証明されていません。