Date : 18/11/2024

SafePay Ransomware : Une Nouvelle Menace aux Techniques Sophistiquées

Octobre 2024 a été marqué par une découverte fascinante : les analystes de Huntress ont mis en lumière une nouvelle souche de ransomware, SafePay. Ce petit bijou d'ingéniosité a été déployé dans deux incidents distincts. Et bien sûr, en toute originalité, les fichiers chiffrés se voient affublés de l'extension .safepay, tandis que la note de rançon porte le doux nom de readme_safepay.txt. Ah, mais ne vous y trompez pas, malgré son obscurité, SafePay est tout sauf un amateur.

Origines suspectes mais professionnelles

Avec des similitudes troublantes avec les grandes figures du ransomware, comme LockBit, SafePay semble être l’œuvre d’un opérateur chevronné. D’ailleurs, les analystes de Huntress ne manquent pas de le souligner : « Nous avons remarqué un grand nombre de similitudes avec les échantillons de LockBit analysés à la fin de 2022 ». Serait-ce que nos amis développeurs ont simplement récupéré du code source fuité? Ah, ces génies du recyclage !

Un modèle d'attaque en deux phases : parce que c'est plus chic

• Collecte de données et exfiltration : Lors du premier incident observé, les attaquants ont utilisé WinRAR pour archiver des données sur plusieurs hôtes, avant de les exfiltrer grâce à FileZilla. Rien de plus classique, mais tellement propre. Ils prennent même la peine de désinstaller les outils après usage, parce que, pourquoi laisser des traces ?
• Déploiement de l'encryption : Ah, le moment préféré des attaquants ! Utilisant l'accès via le Remote Desktop Protocol (RDP), ils exécutent des scripts ransomware via PowerShell pour cibler les partages réseaux. Ils désactivent les copies shadow (ah, l’ironie du nom), modifient les configurations de démarrage et laissent une note de rançon commençant par un chaleureux « Salutations ! Votre réseau d'entreprise a été attaqué par l'équipe SafePay ». C’est toujours bien de commencer les négociations avec courtoisie.

Techniques avancées et un brin d’élégance

SafePay ne se contente pas du minimum. Non, ce ransomware sait comment impressionner avec des capacités avancées :

• Bypass UAC et escalade des privilèges : En utilisant une technique via un objet COM, il contourne l'User Account Control (UAC) et s'octroie les droits d'administrateur. Ce petit stratagème a déjà été vu chez d'autres groupes d’élite comme BlackCat.
• Fonctionnalités anti-analyse : Des techniques d’obfuscation des chaînes et de création de threads permettent à SafePay d’échapper à la détection classique. Les analystes de Huntress ont noté une « implémentation personnalisée qui améliore les capacités anti-analyse ». En voilà un ransomware qui sait se défendre.
• Un killswitch linguistique : Avant de commencer à chiffrer les fichiers, SafePay vérifie la langue système. Si c'est une langue slave, comme le cyrillique, il passe son chemin. On ne veut surtout pas s’attirer des ennuis en Europe de l'Est !

Présence sur le Dark Web, parce que c’est la mode

Bien entendu, comme tout bon groupe de ransomware qui se respecte, SafePay a sa petite boutique sur le réseau Tor et sur The Open Network (TON), où il expose ses victimes et leurs données dérobées. Mais, surprise, même les experts font des erreurs ! Les analystes de Huntress ont découvert que le serveur backend de leur site était vulnérable, exposant l'état du serveur Apache. Ah, l'ironie...

Conclusion : une menace à prendre au sérieux

Bien que nouveau sur la scène du ransomware, SafePay fait déjà des vagues avec ses tactiques sophistiquées et ses liens avec LockBit. Comme le disent si bien les analystes de Huntress : « L'attaquant a pu utiliser des informations d'identification valides pour accéder aux terminaux des clients, sans activer de nouveaux comptes RDP, ni créer de nouveaux utilisateurs, ni établir une persistance quelconque. » Une attaque propre, silencieuse, et terriblement efficace. Bravo, SafePay, pour cette entrée en scène remarquable.

Source : securityonline.info