L’article analyse le ransomware Secp0, apparu début 2025, qui a initialement été mal compris comme un groupe d’extorsion de divulgation de vulnérabilités, mais qui fonctionne en réalité comme un ransomware traditionnel à double extorsion, chiffrant les données tout en menaçant de les divulguer publiquement.
Secp0 a été identifié pour la première fois en février 2025 et a revendiqué sa première victime en mars 2025, une entreprise IT américaine, en compromettant des données et en chiffrant des serveurs. En mai 2025, Secp0 a retardé ses publications, citant une file d’attente de sociétés et testant une solution logicielle, probablement la plateforme d’extorsion World Leaks.
Le ransomware est un binaire ELF pour architecture 64 bits, développé en C/C++, utilisant le chiffrement ChaCha20 et l’échange de clés ECDH. Il propose des options de ligne de commande configurables et une structure de clé irrécupérable sans la coopération de l’attaquant.
L’article fournit des défenses actionnables, y compris des règles YARA basées sur des clés codées en dur et des analyses techniques détaillées. Les IoCs incluent des hachages SHA256 et des domaines liés à Secp0.
Il s’agit d’une analyse technique visant à informer sur le fonctionnement et l’impact de ce ransomware, tout en fournissant des moyens de détection et de mitigation.
🧠 TTPs et IOCs détectés
TTP
T1486 - Data Encrypted for Impact, T1490 - Inhibit System Recovery, T1070.004 - File Deletion, T1048 - Exfiltration Over Alternative Protocol, T1587.001 - Develop Capabilities: Malware, T1059 - Command and Scripting Interpreter
IOC
SHA256 hashes, domains related to Secp0
🔗 Source originale : https://blog.lexfo.fr/analysis-of-secp0-ransomware.html