Ransomware : que sait-on de SafePay ?

Le 31 octobre, une cyberattaque faisait tomber les systèmes de suivi de livraison du logisticien Nisa, partenaire de DHL au Royaume-Uni. D’autres allaient être affectés par un incident touchant en fait l’éditeur Microlise.

Il faudra attendre le 20 novembre pour mettre un nom sur les responsables de la cyberattaque : SafePay, un groupe quasiment inconnu. Car son site vitrine, utilisé pour revendiquer ses faits d’armes, n’aura été découvert et suivi qu’à partir de… la veille. Date à laquelle il comptait 24 victimes. Un chiffre vraisemblablement bien en deçà de la réalité.

Sur son site vitrine, SafePay distribue les données volées à ses victimes assorties, de manière quasi systématique, d’un fichier texte présentant la liste des données en question. L’analyse de ces listes s’avère particulièrement instructive.

Celle-ci suggère très fortement que la plus ancienne victime présentée sur la vitrine de SafePay a été attaquée mi-septembre. Mais d’autres l’ont vraisemblablement précédée. 

Car les listes montrent que les données des victimes de SafePay sont stockées dans des dossiers numérotés (à l’exception d’une) sur un même volume logique. La numérotation commence à 38, suggérant qu’au moins 37 victimes l’ont précédée sans qu’elles soient épinglées. 

La numérotation s’arrête actuellement à 69. Avec toutefois des trous : douze occurrences n’ont pas fait l’objet de revendication ou d’une revendication non assortie d’une liste de fichiers volés. Au total, une quarantaine de victimes de SafePay nous sont vraisemblablement inconnues.

La victime 69 a vraisemblablement été attaquée le 29 octobre. Microlise l’a été ultérieurement. Compte tenu du rythme soutenu des opérations de SafePay le mois dernier, il apparaît vraisemblable qu’un nombre non négligeable de victimes reste à dévoiler. 

Mais SafePay pourrait n’être que la vitrine d’un affilié travaillant par ailleurs avec d’autres enseignes de ransomware : les noms de dossiers dans lesquels sont stockées les données de ses victimes sont accompagnés de la mention « SafePay » pour une douzaine d’entre elles. Comme si l’acteur impliqué souhaitait se rappeler de ne pas revendiquer les victimes correspondantes sous une autre marque.

Compte tenu du niveau d’activité de SafePay en octobre, c’est sans trop de surprise que Huntress est intervenu sur deux incidents impliquant l’enseigne. 

Selon ces constatations, les acteurs associés à cette enseigne semblent apprécier les services RDP exposés sur Internet et réussir à les compromettre avec des identifiants légitimes obtenus par ailleurs. 

Hudson Rock a repéré de tels identifiants dérobés par infostealer pour au moins 4 des victimes de SafePay. D’autres ont pu être exposés de la sorte sans qu’ils aient été partagés plus ou moins publiquement.

Dans l’un des deux incidents suivis par Huntress, l’assaillant a utilisé des pratiques déjà observées dans des cas de compromission par INC Ransom, visant notamment à désactiver Windows Defender. L’exfiltration de données semble être réalisée de préférence par le biais d’archives compressées RAR.

Dans les deux incidents considérés, « l’activité de l’acteur malveillant s’est avérée provenir d’une passerelle ou d’un portail VPN, car toutes les adresses IP observées attribuées aux postes de travail de l’acteur malveillants se trouvaient dans la plage interne ». 

En outre, l’assaillant « n’a pas été observé en train d’activer RDP, de créer de nouveaux comptes d’utilisateurs ou de créer toute autre persistance ».