Ransomware SafePay : un système d'extorsion numérique qui prend les fichiers en otage
Table of Contents
Les mécanismes du ransomware SafePay
SafePay Ransomware est un type d'outil d'extorsion numérique conçu pour crypter les fichiers des victimes, les rendant inaccessibles jusqu'au paiement d'une rançon. Comme d'autres menaces de ransomware, il cible les entreprises et les particuliers, verrouillant des données cruciales et exigeant un paiement en échange de leur restauration. Cette souche particulière laisse une marque distincte sur les fichiers compromis en ajoutant « .safepay » à leur nom. Par exemple, un fichier initialement nommé « document.pdf » serait renommé « document.pdf.safepay », signalant son cryptage.
En plus de crypter les fichiers, SafePay génère une note de rançon intitulée « readme_safepay.txt », qui fournit aux victimes des instructions sur la manière de communiquer avec les attaquants. La note précise que l'attaque a été rendue possible grâce à des « erreurs de configuration de sécurité » dans le réseau de la victime. Les cybercriminels affirment avoir volé des données sensibles et menacent de les divulguer si leurs demandes ne sont pas satisfaites.
Voici ce que dit la demande de rançon :
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Demandes de rançon et tactiques d'extorsion
Contrairement à certaines menaces de ransomware qui se concentrent uniquement sur le chiffrement des fichiers, SafePay adopte une approche plus agressive en intégrant l'exfiltration de données dans sa stratégie d'attaque. Les attaquants affirment avoir extrait des dossiers financiers, des propriétés intellectuelles, des informations sur le personnel et les clients, des coordonnées bancaires et des documents juridiques. Ils utilisent ces données volées comme moyen de pression, avertissant les victimes que le non-respect de ces règles entraînera la divulgation publique de leurs fichiers confidentiels.
Les victimes disposent d’un délai strict de 14 jours pour prendre contact via le réseau Tor. Si aucune communication n’est établie dans ce délai, les attaquants accentuent la pression en publiant un article de blog annonçant la violation de données. Cet article comprend un compte à rebours de trois jours avant la remise des fichiers volés, ce qui contraint encore davantage les victimes à payer la rançon.
Les risques liés au paiement de la rançon
Si payer la rançon peut sembler être le moyen le plus rapide de récupérer l’accès aux fichiers cryptés, cela comporte des risques importants. Les cybercriminels n’ont aucune obligation de tenir leurs promesses et rien ne garantit qu’ils fourniront un outil de décryptage fonctionnel après avoir reçu le paiement. De plus, le financement des opérateurs de ransomware les encourage à poursuivre leurs attaques, ce qui fait que davantage de victimes deviennent la proie de stratagèmes similaires.
La meilleure alternative au paiement de la rançon est de conserver des sauvegardes sécurisées et à jour des fichiers importants. Cependant, même avec des sauvegardes, il est essentiel de supprimer le ransomware d'un système affecté. Le non-respect de cette règle pourrait entraîner le cryptage continu des fichiers nouveaux ou restaurés, rendant le processus de sauvegarde inefficace.
Comment se propagent les menaces de ransomware
Comme de nombreuses autres menaces (par exemple, Cloak Ransomware ou CmbLabs Ransomware ), SafePay Ransomware s'appuie sur de multiples tactiques de distribution pour infiltrer les systèmes. Les cybercriminels utilisent souvent des e-mails trompeurs déguisés en correspondance légitime pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens dangereux. Ces e-mails de phishing peuvent se faire passer pour des factures, des confirmations d'expédition ou des messages urgents nécessitant une attention immédiate.
Une autre méthode d’infection courante concerne les vulnérabilités logicielles. Les systèmes d’exploitation ou les applications obsolètes constituent un point d’entrée permettant aux attaquants de déployer des ransomwares sans nécessiter d’interaction avec l’utilisateur. En outre, SafePay et d’autres menaces similaires peuvent être intégrées dans des logiciels piratés, des générateurs de clés et des programmes piratés, infectant les systèmes dès leur exécution.
Mesures préventives contre les ransomwares
Pour se protéger contre les ransomwares, il faut adopter une approche proactive de la cybersécurité. Les utilisateurs doivent être prudents lorsqu'ils interagissent avec des e-mails provenant d'expéditeurs inconnus, en évitant les pièces jointes et les liens non sollicités. Le téléchargement de logiciels uniquement à partir de sources officielles et la mise à jour de toutes les applications permettent de minimiser le risque d'attaques basées sur des exploits.
De plus, adopter des habitudes de navigation sûres, comme éviter les publicités suspectes, les fenêtres pop-up et les sites Web trompeurs, réduit les risques d'être victime d'escroqueries en ligne. La sauvegarde régulière des fichiers importants sur un stockage hors ligne sécurisé garantit que même en cas d'attaque, la récupération des données reste possible sans avoir à se conformer aux demandes de rançon.
Réflexions finales
Le ransomware SafePay est un exemple de tendance croissante en matière d’extorsion de fonds sur Internet, où les attaquants combinent le chiffrement des fichiers avec le vol de données pour contraindre les victimes à payer de lourdes rançons. Bien que les demandes de rançon puissent être intimidantes, le respect de ces exigences est risqué et ne garantit pas la récupération des données. Au contraire, la meilleure défense contre les menaces de ransomware reste la prise de mesures préventives, comme la conservation de sauvegardes, l’application de mises à jour de sécurité et la prudence en ligne.
