Zscaler ThreatLabz: Ransomwaregroep ‘Payouts King’ vormt serieuze bedreiging voor enterprises

Zscaler ThreatLabz heeft de opkomst gesignaleerd van een nieuwe, technisch geavanceerde ransomwaregroep: Payouts Kings. De groep lijkt nauw verbonden met voormalig leden van BlackBasta en richt zich specifiek op enterprises. De groep gebruikt daarbij geavanceerde aanvalstechnieken en sterke ontwijkingsmechanismen.

Payouts King is geen volledig nieuwe speler, maar een voortzetting van bestaande groepen. Na het uiteenvallen van BlackBasta in 2025 zijn voormalige affiliates actief gebleven en hebben zij hun activiteiten voortgezet onder nieuwe namen. Verschillende aanvallen die begin 2026 zijn waargenomen vertonen sterke overeenkomsten met eerdere BlackBasta-campagnes. Dit gaat met name om de manier waarop initiële toegang wordt verkregen en laterale bewegingen plaatsvinden binnen het netwerk.

Effectieve combinatie van spam bombing en phishing
Payouts King maakt gebruik van een combinatie van social engineering en technische exploitatie. Aanvallers starten vaak met ‘spam bombing’, waarbij inboxen worden overspoeld met e-mails, gevolgd door phishing en voice phishing (vishing). Hierbij doet de groep zich voor als IT-support om slachtoffers te overtuigen toegang te verlenen.

Eenmaal binnen maken de aanvallers gebruik van legitieme tools zoals Microsoft Quick Assist en geplande taken (via schtasks.exe) om persistente en privilege-escalatie te realiseren. Daarnaast zet de ransomware sterke encryptie in (RSA en AES-256) en geavanceerde obfuscatie- en anti-analysetechnieken, waaronder API- en string-hashing, om beveiligingsoplossingen zoals antivirus en EDR te omzeilen.

Geëxfiltreerde data gebruikt als drukmiddel voor hoge losgeldsommen
De groep richt zich vooral op enterprises. Data-exfiltratie en afpersing staan bij deze aanvallen centraal. Naast het versleutelen van bestanden wordt gestolen data gebruikt als drukmiddel om losgeld af te dwingen.

Deze aanpak sluit aan bij een bredere trend in ransomware: de verschuiving van puur encryptiegedreven aanvallen naar gecombineerde extortion-modellen.

De losgeldbrief bevat informatie over hoe contact op te nemen met Payouts King en een link naar de dataleksite van de groep. De dataleksite van Payouts King is hieronder weergegeven.

Traditionele beveiliging voldoet niet meer
De opkomst van Payouts King laat zien dat ransomware zich blijft ontwikkelen in zowel technische complexiteit als operationele volwassenheid. Voor IT-teams en securityleiders betekent dit dat traditionele detectie- en preventiemethoden alleen niet langer volstaan. Belangrijke aandachtspunten zijn onder meer:

• Versterken van user awareness rond social engineering
• Beperken en monitoren van remote support tools
• Implementeren van multi-factor authenticatie (MFA)
• Proactieve threat hunting en gedragsanalyse

Payouts King illustreert hoe snel ransomware-ecosystemen zich aanpassen. Door bestaande aanvalstechnieken te combineren met nieuwe ontwijkingstechnieken vormt deze groep een serieuze bedreiging voor moderne IT-omgevingen.

Voor organisaties is het essentieel om hun beveiligingsstrategie continu te evalueren en aan te passen om deze nieuwe generatie ransomware-aanvallen effectief te kunnen detecteren en stoppen.

Lees hier de volledige technische analyse van de aanvallen van Payouts King.