Dans un récent incident de réponse, l’équipe de Digital Forensics and Incident Response (DFIR) a découvert que le ransomware SafePay avait été déployé sur les machines des victimes. La première activité confirmée de ce ransomware remonte à septembre 2024, et depuis, le groupe responsable a intensifié ses activités, ajoutant de plus en plus de victimes à son site de fuite de données (DLS).
Les cibles de ce groupe incluent à la fois le secteur public et privé à travers le monde, avec des victimes notables aux États-Unis et au Royaume-Uni. Dans le cas étudié par Proven Data, les fichiers chiffrés portaient l’extension .safepay, et la note de rançon était nommée readme_safepay.txt.
Lors de la première analyse, les analystes ont identifié une valeur de registre autorun malveillante “6F22-C16F-0C71-688A” sur l’un des points d’extrémité. Cette autorun exécute le fichier DLL du ransomware malveillant situé à “C:\locker.dll”. Le fichier DLL est exécuté via l’utilitaire de ligne de commande Microsoft légitime et signé “Regsvr32.exe”.
Les IOCs identifiés incluent :
- Extension de fichier :
.safepay - Note de rançon :
readme_safepay.txt - Valeur de registre autorun :
6F22-C16F-0C71-688A - Chemin du fichier DLL :
C:\locker.dll - Utilitaire utilisé :
Regsvr32.exe
Cet article constitue un rapport d’incident détaillant les découvertes techniques et les implications du déploiement de SafePay, visant à alerter et informer les professionnels de la cybersécurité.
🔗 Source originale : https://www.porthas.com/blog/safepay-ransomware-threat-profile-and-analysis/