Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée.

🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique.

💥 Capacités techniques: Le binaire intègre Anti-VM, mutex et copie dans %Temp% (svchost_{aléatoire}.exe), test de connectivité via google.com/generate_204, et un géorepérage empêchant l’exécution sur des systèmes israéliens (fuseau horaire, clavier hébreu, sous-réseaux IP). Il collecte et exfiltre des données (hives, identifiants, navigateurs, apps comme Discord/Slack/Telegram/WhatsApp/Atomic Wallet) vers file.io (collected_data.zip), effectue de la reconnaissance réseau (ARP, scan RDP) et tente d’exploiter Fortinet via CVE-2025-64446. La persistance passe par Run key, service « WinDefender », création d’un utilisateur « SysAdmin/Password123! » et tentative de création d’utilisateur AWS. Le chiffrement cible Documents/Desktop/Music/Downloads/Pictures/Videos en AES-GCM (BCrypt, clé par fichier), ajoute l’extension .sicarii, stocke nonce/tag dans un en-tête XOR 0xAA, puis supprime les originaux. Un composant destructif (destruct.bat) corrompt le bootloader et utilise cipher/diskpart pour du wiping avant arrêt système.

🧠 Renseignement & anomalies: L’opérateur Telegram @Skibcum (« Threat »), créé en novembre 2025, montre une aisance en russe et en anglais, un faible OpSec (demandes publiques d’« ransomware APKs ») et des incohérences narratives (revendications de 3–6 victimes ayant payé, puis « premier » cas en Grèce présenté comme un test). La mise en scène visuelle réemploie des mèmes et iconographies marginales. Sur VirusTotal, un compte unique a soumis de nombreuses variantes (souvent nommées Project3.exe) et même un code source « ransomawre.cs » (25 oct. 2025), signes d’un développement itératif.

📌 IOCs et artefacts:

  • Extension de chiffrement: .sicarii
  • Fichiers/artefacts: svchost_{aléatoire}.exe, collected_data.zip, destruct.bat, Project3.exe, service « WinDefender », utilisateur local « SysAdmin » (Password123!)
  • Comptes/handles: Telegram @Skibcum (« Threat »)
  • Endpoints/Services: file.io (exfiltration), google.com/generate_204 (test connectivité)
  • Vulnérabilité ciblée: CVE-2025-64446 (Fortinet)

🧰 TTPs (extraits):

  • Anti-analyse: détection VM, exécution mono-instance (mutex)
  • Évasion: géofencing pour systèmes israéliens, terminaison d’AV/VPN
  • Accès/crédentiels: dump LSASS, collecte hives et données de navigateurs/applications
  • Reconnaissance/réseau: ARP scan, détection/probe RDP, exploitation Fortinet (CVE-2025-64446)
  • Persistance: Run key, service « WinDefender », création d’utilisateur local et tentative AWS
  • Exfiltration: empaquetage ZIP vers file.io
  • Chiffrement: AES-GCM via BCrypt, extension .sicarii, suppression des originaux
  • Impact destructif: corruption bootloader, cipher/diskpart, arrêt immédiat

Conclusion: Il s’agit d’une publication de recherche décrivant une nouvelle opération RaaS avec une analyse technique détaillée et des anomalies d’attribution/identité.

🧠 TTPs et IOCs détectés

TTP

[‘Anti-analyse: détection VM, exécution mono-instance (mutex)’, ‘Évasion: géofencing pour systèmes israéliens, terminaison d’AV/VPN’, ‘Accès/crédentiels: dump LSASS, collecte hives et données de navigateurs/applications’, ‘Reconnaissance/réseau: ARP scan, détection/probe RDP, exploitation Fortinet (CVE-2025-64446)’, ‘Persistance: Run key, service « WinDefender », création d’utilisateur local et tentative AWS’, ‘Exfiltration: empaquetage ZIP vers file.io’, ‘Chiffrement: AES-GCM via BCrypt, extension .sicarii, suppression des originaux’, ‘Impact destructif: corruption bootloader, cipher/diskpart, arrêt immédiat’]

IOC

[‘Extension de chiffrement: .sicarii’, ‘Fichiers/artefacts: svchost_{aléatoire}.exe, collected_data.zip, destruct.bat, Project3.exe, service « WinDefender », utilisateur local « SysAdmin » (Password123!)’, ‘Comptes/handles: Telegram @Skibcum (« Threat »)’, ‘Endpoints/Services: file.io (exfiltration), google.com/generate_204 (test connectivité)’, ‘Vulnérabilité ciblée: CVE-2025-64446 (Fortinet)’]

🔗 Source originale : https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/