Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées.

• Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎

• Outils et workflow: Le groupe utilise le locker Qilin non modifié pour la phase finale d’encryption (algorithmes mentionnés: ChaCha20, AES‑256, RSA‑4096, AES‑256‑CTR avec AES‑NI), tandis que l’escalade de privilèges et l’exfiltration sont réalisées manuellement et adaptées à chaque cible. Les notes de rançon incluent la liste des documents sensibles identifiés. L’analyse des données est principalement manuelle, avec un usage ponctuel d’un LLM selon le volume et les formats. Le chiffrage vise «tous les fichiers» sauf les fichiers systèmes pour conserver l’amorçage. 🔐

• Infrastructure et OPSEC: L’infrastructure est fortement segmentée, avec services TOR (.onion) pour le blog, un panneau de contrôle Qilin pour négociations/lockers, et des sauvegardes + load balancers pour la résilience. Les extractions passent par SFTP, FTP ou HTTPS selon la configuration du pare-feu. Le groupe dit désactiver AV/EDR avant chiffrement et s’appuyer sur un outillage de reverse shell pour l’évasion. Il recourt à des proxies résidentiels “propres” géolocalisés côté victime pour mimer un utilisateur légitime. Le chiffrage est souvent lancé pendant les heures creuses. 🕵️

• Stratégie de négociation et réputation: Securotrop appuie ses demandes de rançon sur la valeur prédite des documents exfiltrés et divulgue une liste détaillée aux victimes pour démontrer le levier. Le groupe justifie son indépendance vis-à-vis de Qilin (ex. pannes du FTP de leaks) pour contrôler les délais de publication et préserver son image.

• Contexte du paysage RaaS: L’article rappelle la volatilité de l’écosystème, avec de nombreux groupes (Atom Silo, Black Shadow, Bonaci Group, Cross Lock, Dark Power, DarkRace) apparus/disparus en quelques mois ces dernières années. La pérennité de Securotrop reste incertaine, malgré une approche structurée. Cet article est une interview visant à éclairer leurs méthodes et priorités.

TTPs (extraits de l’interview):

  • Accès/OpSec: Proxies résidentiels localisés; chaînes de connexion complexes; TOR pour blog et panel; infrastructure segmentée, backups, load balancers.
  • Mouvement interne/exfiltration: Escalade manuelle, exfil via SFTP/FTP/HTTPS; éviter activités détectables par EDR; reverse shell avec capacités d’évasion.
  • Impact/Extorsion: Double extorsion avec analyse approfondie des données; note de rançon listant documents sensibles; encryption de masse (sauf fichiers système) via Qilin; exécution en heures creuses; désactivation AV/EDR pré-chiffrement.
  • Outils/Technos: Qilin (locker); algos ChaCha20, AES‑256, RSA‑4096, AES‑256‑CTR (AES‑NI); LLM utilisé ponctuellement pour le tri des données; tableau de bord interne type Jira.

IOCs: Aucun IOC (hash, IP, domaine, wallet) n’est communiqué dans l’interview. 🧩

En somme, il s’agit d’une interview de menace détaillant la posture, l’infrastructure et les méthodes d’un affilié RaaS émergent, avec un accent sur l’exploitation de la donnée volée pour maximiser la pression en négociation.

🧠 TTPs et IOCs détectés

TTP

Accès/OpSec: Proxies résidentiels localisés; chaînes de connexion complexes; TOR pour blog et panel; infrastructure segmentée, backups, load balancers. Mouvement interne/exfiltration: Escalade manuelle, exfil via SFTP/FTP/HTTPS; éviter activités détectables par EDR; reverse shell avec capacités d’évasion. Impact/Extorsion: Double extorsion avec analyse approfondie des données; note de rançon listant documents sensibles; encryption de masse (sauf fichiers système) via Qilin; exécution en heures creuses; désactivation AV/EDR pré-chiffrement. Outils/Technos: Qilin (locker); algos ChaCha20, AES‑256, RSA‑4096, AES‑256‑CTR (AES‑NI); LLM utilisé ponctuellement pour le tri des données; tableau de bord interne type Jira.

IOC

Aucun IOC (hash, IP, domaine, wallet) n’est communiqué dans l’interview.

🔗 Source originale : https://www.suspectfile.com/a-young-ransomware-group-an-ancient-risk-securotrop-the-interview/