Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure.
🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV.
⚠️ L’opération repose sur une double extorsion : exfiltration de données sensibles (ex. dossiers financiers, propriété intellectuelle) avant chiffrement des systèmes. Les victimes sont ensuite pressurisées via un site de fuite sur le réseau Tor, où sont listées les organisations refusant de payer.
⏱️ Les attaques se distinguent par leur rapidité, avec un passage de l’accès initial au chiffrement souvent en moins de 24 heures, accentuant l’impact et limitant la capacité de réponse des victimes.
TTPs observés:
- Modèle opérationnel centralisé/fermé (anti-RaaS) avec contrôle des négociations et de l’infrastructure
- Double extorsion : exfiltration de données puis chiffrement
- Site de fuites sur Tor pour la pression publique
- OPSEC renforcée pour éviter fuites de code et infiltrations
- Tempo d’attaque élevé : de l’accès initial au chiffrement en ~24 h
Conclusion: Il s’agit d’une analyse de menace décrivant le mode opératoire, l’OPSEC et la montée en puissance de SafePay, avec pour objectif d’informer sur ses techniques et son positionnement par rapport aux modèles RaaS.
🧠 TTPs et IOCs détectés
TTPs
[‘Modèle opérationnel centralisé/fermé’, “Contrôle des négociations et de l’infrastructure”, ‘Double extorsion : exfiltration de données puis chiffrement’, “Utilisation d’un site de fuites sur Tor pour la pression publique”, ‘OPSEC renforcée pour éviter les fuites de code et les infiltrations’, “Tempo d’attaque élevé : de l’accès initial au chiffrement en ~24 heures”]
🔗 Source originale : https://www.picussecurity.com/resource/blog/inside-safepay-analyzing-the-new-centralized-ransomware-group