Was ist PayoutsKing Ransomware?

PayoutsKing ist eine relativ neue Ransomware-Gruppe, die auf mittelständische Unternehmen abzielt. Sie agiert vermutlich nach dem Ransomware-as-a-Service-Modell und nutzt Remote-Tools wie AnyDesk oder TeamViewer zur initialen Zugriffserlangung.

Welche Indikatoren deuten auf einen Befall hin?

Typische Anzeichen sind verschlüsselte Dateien mit der Endung .payoutsking, die Datei PAYOUTS-README.txt, sowie bekannte Hashes und verdächtige Prozesse wie sqlwriter.exe, psexesvc.exe oder VeeamTransportSvc.

Wie kann ich reagieren?

Kontaktieren Sie umgehend das Incident Response Team der mh Service GmbH per E-Mail an dfir@mh-service.de oder telefonisch unter +49 211 8797446742. Unsere Experten sind rund um die Uhr für Sie da.

PayoutsKing Ransomware Analyse 2025 | IOCs, Hashes & Incident Response

Allgemeine Informationen

Erkannt seit: Juli 2024
Modell: Ransomware-as-a-Service (RaaS)
Verbindung zu: Vermutete Verbindungen zu Stormous & Knight-Gruppe
Opferzahl: Mindestens 50 bekannte Fälle (Stand August 2025)
Zielbranchen: Einzelhandel, Baugewerbe, Transport, Regierung
Typische Lösegeldforderungen: 50.000 – 500.000 USD

Dateiendungen & Ransomnote

.payoutsking – Erweiterung verschlüsselter Dateien
PAYOUTS-README.txt – Erpressernachricht mit Zahlungsaufforderung

Datei-Hashes

SHA-256:

7a46ff94e373ea6c55d5e5a37cc87d15e1b99ff45080e9244d60a9c547b4e125
0d2e1c73321e3c41eae5f4dd95d67f1e53b1168a1e4628d0f1d5b938bcef8d91

Verdächtige Kommandos


vssadmin delete shadows /all /quiet
bcdedit /set {current} safeboot minimal
wmic shadowcopy delete
netsh advfirewall set allprofiles state off
taskkill /f /im sqlwriter.exe
schtasks /change /tn "Microsoft\Windows\Defrag\ScheduledDefrag" /disable
sc stop VeeamTransportSvc
sc stop BackupExecAgentAccelerator

Netzwerkindikatoren

Remote Tool: AnyDesk
Remote Tool: TeamViewer
Leak-Site (.onion): payoutsgn7cy6uliwevdqspncjpfxpmzgirwl2au65la7rfs5x3qnbqd.onion

MITRE ATT&CK Mapping

Initial Access: T1078 - Valid Accounts (z.B. RDP ohne MFA), T1133 - External Remote Services
Execution: T1059 - Command and Scripting Interpreter (PowerShell, CMD)
Persistence: T1547 - Boot or Logon Autostart Execution
Privilege Escalation: T1068 - Exploitation for Privilege Escalation
Defense Evasion: T1562 - Impair Defenses (Deaktivierung AV, Löschung Shadow Copies)
Credential Access: T1003 - OS Credential Dumping (z.B. LaZagne, mimikatz)
Discovery: T1087 - Account Discovery, T1018 - Remote System Discovery
Lateral Movement: T1021 - Remote Services (SMB, WinRM)
Collection: T1119 - Automated Collection
Exfiltration: T1041 - Exfiltration Over C2 Channel (Rclone, MegaCLI)
Impact: T1486 - Data Encrypted for Impact, T1490 - Inhibit System Recovery

Ransomnote - Beispiel A

        
Derzeit ist leider keine Ransom Note zu diesem Akteur bekannt. Wir freuen uns über Beispiele aus der Community.

Externe Analysen & Bedrohungsprofile

Indicators of Compromise (IOCs)


Dateiendung(en):        *.payoutsking
Ransom Note:            PAYOUTS-README.txt
Leak Site (Tor):        payouts7dlsgwf2rlbnfuvq27wlxud3nfbxbpbxvn4ehx3vwpwpwoydqd.onion

Verdächtige Prozesse:   psexesvc.exe, sqlwriter.exe, defrag.exe
Remote Tools:           AnyDesk, TeamViewer

Command-Line IOCs:
  - vssadmin delete shadows /all /quiet
  - bcdedit /set {current} safeboot minimal
  - wmic shadowcopy delete
  - netsh advfirewall set allprofiles state off
  - schtasks /change /tn "Microsoft\Windows\Defrag\ScheduledDefrag" /disable
  - sc stop VeeamTransportSvc

Hash-Beispiel (SHA256):
  - 7a46ff94e373ea6c55d5e5a37cc87d15e1b99ff45080e9244d60a9c547b4e125
  - 0d2e1c73321e3c41eae5f4dd95d67f1e53b1168a1e4628d0f1d5b938bcef8d91

Payouts King Ransomware