Payouts-King-Ransomware umgeht EDR durch Verschleierung und direkte Systemaufrufe

Seit seinem ersten Auftreten im April 2025 hat sich eine neue Ransomware-Gruppe namens Payouts King stillschweigend einen Ruf aufgebaut. Während sie den Großteil des vergangenen Jahres unter dem Radar operierte, brachte Seit seinem ersten Auftreten im April 2025 hat sich eine neue Ransomware-Gruppe namens Payouts King stillschweigend einen Ruf aufgebaut.

Während sie den Großteil des vergangenen Jahres unter dem Radar operierte, brachte das frühe Jahr 2026 einen deutlichen Aktivitätsanstieg mit sich, der mit ehemaligen Mitgliedern der mittlerweile aufgelösten BlackBasta-Operation in Verbindung steht.

Die Gruppe richtet sich über gut etablierte, jedoch wirksame Taktiken an Organisationen heran, stiehlt große Mengen sensibler Daten und verschlüsselt daraufhin gezielt Dateien auf kompromittierten Systemen.

BlackBasta, die seit Februar 2022 als Nachfolgerin der berüchtigten Conti-Ransomware-Gruppe tätig war, brach im Februar 2025 zusammen, nachdem ihre internen Chat-Protokolle ins Internet gelangten. Diese Enthüllung zwang die Gruppe zur Auflösung, doch sie hinderte die Urheber der Angriffe nicht daran, weiterzuhandeln.

Viele ihrer ehemaligen Mitglieder setzten ihre Aktivitäten unter anderen Namen fort und deployten andere Ransomware-Familien wie Cactus; kürzlich haben sie sich zudem mit Payouts King verbunden. Zscaler hat diese Angriffe identifiziert und einen Bericht bei