Selon les chercheurs du Halcyon’s Ransomware Research Center (RRC), une erreur de codage dans le rançongiciel Sicarii en fait une menace particulièrement dangereuse, car elle empêche tout déchiffrement des données compromises.
Contexte: apparu en décembre 2025, l’opération de ransomware-as-a-service (RaaS) Sicarii a commencé à recruter des affiliés sur le dark web, marquant son entrée sur la scène cybercriminelle.
Des chercheurs du Halcyon Ransomware Research Center (RRC) alertent sur un risque majeur lié à un nouveau ransomware baptisé Sicarii, apparu en décembre 2025 sous forme d’offre Ransomware-as-a-Service (RaaS).
Le point critique : une erreur de développement dans la gestion des clés de chiffrement rendrait impossible la restauration des données, même si la victime paie la rançon.
Selon Halcyon, le binaire Sicarii génère une nouvelle paire de clés RSA localement à chaque exécution, utilise cette paire pour le chiffrement, puis perd/élimine la clé privée. Résultat : le chiffrement n’est rattaché à aucun “master key” récupérable, et un éventuel décrypteur fourni par les attaquants serait inefficace.
Conclusion opérationnelle : payer ne change rien pour récupérer les fichiers.
Halcyon recommande donc de ne pas négocier en cas d’attaque Sicarii, et de basculer immédiatement vers des actions de réponse : isoler, préserver les preuves, déterminer le périmètre, et restaurer via des sauvegardes.
Sur l’attribution, Sicarii se distingue par une iconographie israélienne/judaïque (hébreu, références historiques, Haganah) et par un géofencing empêchant l’exécution sur des systèmes situés en Israël. Toutefois, Check Point souligne des incohérences (usage maladroit de l’hébreu, meilleure maîtrise de l’anglais/russe, posture idéologique pouvant être du false flag), rendant l’origine réelle du groupe incertaine.
Analyse technique: l’équipe de Halcyon a identifié une faille critique dans la gestion des clés de chiffrement de Sicarii. Cette erreur — possiblement introduite par une dépendance excessive à des outils de codage assistés par IA — compromet le mécanisme de chiffrement/déchiffrement du malware.
Impact: en pratique, cette faille rend impossible le déchiffrement des systèmes affectés, aussi bien pour les victimes que pour les opérateurs du ransomware, transformant chaque attaque en verrouillage irréversible 🔒.
🧠 TTPs et IOCs détectés
🔍 IOC observables
(Aucun IOC technique précis — domaines, IP, hash, noms de fichiers — n’est fourni dans l’extrait)
- Marque / nom du ransomware : Sicarii
- Modèle : RaaS (recrutement d’affiliés sur forums/underground)
- Particularités d’“affiliation policy” (selon Check Point) :
- incitations ciblant des États arabes/musulmans
- géofencing : non-exécution sur systèmes en Israël
- Indicateur comportemental majeur : paiement inutile (décryptage impossible)
🧩 TTPs (extraits – alignement MITRE ATT&CK)
Impact
- Chiffrement des données (Data Encrypted for Impact)
→ ransomware destiné à rendre les fichiers indisponibles et à forcer une extorsion.
Développement / chiffrement (caractéristique technique)
- Génération locale “par exécution” d’une paire de clés RSA
- Mauvaise gestion des clés : la clé privée est perdue/jetée, rendant le déchiffrement impossible
→ ce n’est pas un “TTP d’attaque” classique, mais un trait technique déterminant pour la réponse.
Défense / réponse recommandée (côté victime)
- Isolement des systèmes, préservation des preuves, analyse de portée, restauration via sauvegardes
(bonnes pratiques de réponse à incident, plutôt que TTP de l’attaquant)
✅ Points clés pour les équipes sécu / IR
- Ne pas payer : Halcyon indique qu’un paiement ne permettra pas de récupérer les données.
- Prioriser :
- containment (segmentation/isolement)
- forensics (logs, télémétrie, preuves)
- restauration (sauvegardes protégées / PRA)
- Surveiller l’évolution : si les opérateurs corrigent le bug, la recommandation peut changer — à confirmer par preuve indépendante.
Conclusion: il s’agit d’une publication de recherche visant à documenter l’architecture et les défauts de Sicarii, en soulignant l’impact operational d’une erreur de conception sur la menace.
🔗 Source originale : https://www.computerweekly.com/news/366637711/Broken-decryptor-leaves-Sicarii-ransomware-victims-adrift