SafePay Ransomware : Une Nouvelle Menace aux Techniques Sophistiquées
safepay-ransom
Octobre 2024 a été marqué par une découverte fascinante : les analystes de Huntress ont mis en lumière une nouvelle souche de ransomware, SafePay. Ce petit bijou d'ingéniosité a été déployé dans deux incidents distincts. Et bien sûr, en toute originalité, les fichiers chiffrés se voient affublés de l'extension .safepay, tandis que la note de rançon porte le doux nom de readme_safepay.txt. Ah, mais ne vous y trompez pas, malgré son obscurité, SafePay est tout sauf un amateur.
safepay-ransom-web
Origines suspectes mais professionnelles
Avec des similitudes troublantes avec les grandes figures du ransomware, comme LockBit, SafePay semble être l’œuvre d’un opérateur chevronné. D’ailleurs, les analystes de Huntress ne manquent pas de le souligner : « Nous avons remarqué un grand nombre de similitudes avec les échantillons de LockBit analysés à la fin de 2022 ». Serait-ce que nos amis développeurs ont simplement récupéré du code source fuité? Ah, ces génies du recyclage !
Un modèle d'attaque en deux phases : parce que c'est plus chic
Collecte de données et exfiltration : Lors du premier incident observé, les attaquants ont utilisé WinRAR pour archiver des données sur plusieurs hôtes, avant de les exfiltrer grâce à FileZilla. Rien de plus classique, mais tellement propre. Ils prennent même la peine de désinstaller les outils après usage.
Déploiement du chiffrement : Utilisant l'accès via le Remote Desktop Protocol (RDP), ils exécutent des scripts ransomware via PowerShell pour cibler les partages réseaux. Ils désactivent les copies shadow, modifient les configurations de démarrage et laissent une note de rançon commençant par « Salutations ! Votre réseau d'entreprise a été attaqué par l'équipe SafePay ».
Techniques avancées et un brin d’élégance
SafePay ne se contente pas du minimum. Non, ce ransomware sait comment impressionner avec des capacités avancées :
Bypass UAC et escalade des privilèges : En utilisant une technique via un objet COM, il contourne l'User Account Control (UAC) et s'octroie les droits d'administrateur. Déjà vu chez d'autres groupes d’élite comme BlackCat.
Fonctionnalités anti-analyse : Des techniques d’obfuscation des chaînes et de création de threads permettent à SafePay d’échapper à la détection classique. Les analystes de Huntress ont noté une « implémentation personnalisée qui améliore les capacités anti-analyse ».
Un killswitch linguistique : Avant de commencer à chiffrer les fichiers, SafePay vérifie la langue système. Si c'est une langue slave, comme le cyrillique, il passe son chemin.
Présence sur le Dark Web, parce que c’est la mode
safepay-ransom-directory
Bien entendu, SafePay a sa petite boutique sur le réseau Tor et sur The Open Network (TON), où il expose ses victimes et leurs données dérobées. Les analystes de Huntress ont découvert que le serveur backend de leur site était vulnérable, exposant l'état du serveur Apache.
Conclusion : une menace à prendre au sérieux
Bien que nouveau sur la scène du ransomware, SafePay fait déjà des vagues avec ses tactiques sophistiquées et ses liens avec LockBit. Comme le disent les analystes de Huntress : « L'attaquant a pu utiliser des informations d'identification valides pour accéder aux terminaux des clients, sans activer de nouveaux comptes RDP, ni créer de nouveaux utilisateurs, ni établir une persistance quelconque. » Une attaque propre, silencieuse, et terriblement efficace.
