Payload è un ransomware comparso a febbraio 2026 che cifra i file in modo da rendere il recupero impossibile senza la chiave degli attaccanti. In tre mesi ha mietuto 50 vittime in tutto il mondo.
Autore: Redazione SecurityOpenLab
Si chiama Payload il nuovo ransomware che ha fatto la sua comparsa il 15 febbraio 2026 e, in meno di sei settimane, ha rivendicato 50 vittime in vari paesi, fra cui Egitto, Messico e Polonia. A documentarne il funzionamento è un'analisi tecnica dettagliata di Dark Atlas, che mostra un profilo di attacco moderno con doppia estorsione, e si distingue per l’impiego di tecniche che rendono i dati delle vittime praticamente irrecuperabili senza la chiave privata degli attaccanti.
La prima vittima pubblicata dal gruppo è stata uno dei principali sviluppatori immobiliari egiziani, seguito da una espansione geografica immediata, che caratterizza fin da subito il gruppo come operatore internazionale. Il profilo delle vittime segue una logica opportunistica orientata al massimo impatto operativo. La logistica e i trasporti sono particolarmente fra le vittime predilette perché qualsiasi interruzione si traduce quasi immediatamente in perdite economiche e disservizi ai clienti. Segue il settore immobiliare e delle costruzioni, che offre agli attaccanti una forte leva negoziale dovuta all'abbondanza di dati finanziari, contratti e documenti di sensibili. Il resto del portafoglio comprende manifattura, servizi professionali, tecnologia e imprese commerciali di vario tipo.
Anche se il fulcro distintivo di questo gruppo è il metodo crittografico, vale la pena spendere prima qualche parola per descrivere i passaggi operativi che precedono le operazioni di cifratura e che servono per ostacolare fattivamente il ripristino del sistema. Prima di tutto Payload elimina tutte le copie shadow di Windows, cioè i backup automatici che il sistema operativo crea periodicamente e che in molti casi consentono di recuperare i file anche dopo un attacco ransomware. Cancella i log di sistema e di sicurezza, eliminando le tracce dell'intrusione. Disabilita il meccanismo di telemetria interno a Windows che registra gli eventi del sistema, impedendo agli strumenti di analisi forense di ricostruire la sequenza di azioni compiute dal malware.
Parallelamente, il ransomware termina decine di processi e servizi attivi prima di procedere con la cifratura: database (SQL Server, Oracle), strumenti di backup (Veeam, Acronis, Veritas BackupExec), soluzioni di sicurezza (Sophos, Symantec), applicazioni Office e client di posta. L'obiettivo è garantire che i file in uso siano accessibili per la cifratura e, al contempo, neutralizzare preventivamente gli strumenti che potrebbero avviare un recupero automatico. Inoltre, per bypassare i controlli delle soluzioni di cybersecurity, Payload interagisce con il sistema operativo evitando i livelli dove questi strumenti solitamente monitorano le attività, e appellandosi a funzioni di basso livello del kernel di Windows.
Svolte queste incombenze si passa alla cifratura dei dati, che è il centro dell'analisi di Dark Atlas. Il ransomware utilizza due algoritmi crittografici in combinazione: ChaCha20 per cifrare i file e Curve25519 per proteggere le chiavi. ChaCha20 è un algoritmo di cifratura simmetrica, veloce e robusto, che trasforma il contenuto di un file in dati illeggibili usando una chiave segreta. Il problema della cifratura simmetrica è che chiunque intercetti la chiave può decifrare i file. Payload aggira questo limite con l’introduzione nel flusso operativo di Curve25519, un algoritmo di crittografia asimmetrica basato sulle curve ellittiche.
Nella sostanza, gli operatori del ransomware hanno una coppia di chiavi: una pubblica, incorporata nel codice del malware, e una privata, che conservano sui propri server. Per ogni file che il malware deve cifrare, l’algoritmo genera in tempo reale una coppia di chiavi temporanea e usa un calcolo matematico su curve ellittiche per ricavare un segreto condiviso fra la chiave privata temporanea e la chiave pubblica degli operatori. Quel segreto diventa la chiave ChaCha20 con cui il file viene cifrato. Subito dopo, la chiave privata temporanea viene cancellata dalla memoria e il segreto condiviso non viene mai scritto su disco. In coda al file cifrato viene aggiunto un blocco di 56 byte contenente la chiave pubblica temporanea della vittima: informazione sufficiente agli operatori per ricostruire il segreto condiviso usando la propria chiave privata, ma inutile per chiunque altro. Il risultato pratico è che senza la chiave privata degli operatori il recupero dei file è tecnicamente impossibile.
I file così cifrati ricevono l'estensione .payload che costituisce il marchio di fabbrica dell’attaccante. Nelle cartelle interessate alla cifratura viene depositata una nota di riscatto che dà alla vittima 72 ore per mettersi in contatto con gli attaccanti attraverso il browser Tor. Sono previste 240 ore per le trattative, al termine delle quali, in assenza di accordo, avviene la pubblicazione integrale dei dati sul sito di leak del gruppo.