SafePay : bombes par e-mail, scams téléphoniques et rançons très élevées

Lorsqu'il s'agit de choisir un nom de marque, « SafePay » doit être parmi les choix les plus insipides. Cela ressemble plus à une application de paiement qu'à un groupe de crime organisé. Il n'y a ni dragons, ni insectes, ni têtes pleines de serpents, mais le groupe derrière la marque est compétent et impitoyable. SafePay s'est fait un nom grâce à son chiffrement puissant, son exfiltration de données et ses importantes demandes de rançon auprès d'une liste de victimes en croissance rapide.  

Le ransomware SafePay a été observé pour la première fois en octobre 2024, et il a été confirmé qu'il était actif au moins un mois plus tôt. À la fin du premier trimestre 2025, SafePay avait fait plus de 200 victimes, dont des fournisseurs de services gérés (MSP) et des petites et moyennes entreprises (PME) de nombreux secteurs. Le groupe a fait preuve d’acharnement, faisant entre 58 et 70 victimes en mai 2025, ce qui en fait le groupe de ransomware le plus actif ce mois-là.  

Qui est SafePay ?

Commençons par la marque. Le nom « SafePay » peut être une tentative de rendre le groupe digne de confiance ou de créer de la confusion en utilisant le nom de produits de sécurité légitimes. En utilisant le même nom que des logiciels légitimes et potentiellement fiables, le groupe peut dissimuler ses activités dans les listes de processus, les campagnes de social engineering ou les e-mails phishing. Il n'existe aucune preuve publique d'une quelconque signification ou d'un quelconque sens derrière ce nom, et il est donc possible qu'il n'y ait aucune signification du tout. 

Les opérateurs du ransomware SafePay se font appeler « l'équipe SafePay ». Le groupe ne propose pas de programme de ransomware en tant que service (RaaS), ce qui suggère que SafePay est une opération centralisée qui gère sa propre infrastructure, ses opérations et ses négociations.

Les experts spéculent que SafePay est géré par des acteurs de la menace expérimentés qui ont changé de nom ou migré depuis un autre groupe de ransomware. Il existe des similitudes significatives entre les fichiers binaires des ransomware SafePay et LockBit, bien que SafePay soit le plus similaire à LockBit 3.0, qui a été divulgué en 2022. L'analyse de Yelisey Boguslavskiy a révélé des similitudes entre les attaques SafePay et Conti, suggérant que SafePay pourrait inclure d'anciens membres de Conti et d'autres groupes. Boguslavskiy émet également l'hypothèse que la croissance de SafePay en 2024 pourrait avoir été une raison principale de la chute de Black Basta. Cela suggère que SafePay a été formé grâce à une acquisition intentionnelle et stratégique de talents issus de groupes de menaces établis.

Il n'y a pas de localisation confirmée publiquement des opérateurs SafePay, mais certaines preuves indiquent une « base d'attache » en Europe de l'Est. Le binaire SafePay inclut un kill switch qui l'empêchent de fonctionner sur les systèmes utilisant le russe ou d'autres langues cyrilliques par défaut. Ce kill switch est l'un des indicateurs les plus courants que le groupe opère dans cette région.

SafePay n'étant pas une opération RaaS, nous n'avons pas de postes de recrutement ou de règles d'affiliation qui pourraient indiquer son emplacement. Les données de localisation des victimes montrent que SafePay semble privilégier les victimes aux États-Unis et en Allemagne. Voici la répartition par pays :

SafePay et le social engineering

Les attaques SafePay reposent largement sur des tactiques de social engineering. L’une des actions phares du groupe consiste à perturber le personnel d’une entreprise en envoyant un grand volume de spams aux employés. Les chercheurs ont observé une attaque qui a envoyé plus de 3 000 de ces spams en 45 minutes.

Les pirates profitent ensuite du chaos causé par l'attaque de spam en utilisant Microsoft Teams pour contacter les employés par appel audio, vidéo ou message texte. L’acteur de la menace se fait passer pour un membre du support technique de l’entreprise et propose de résoudre les problèmes causés par les attaques des e-mails. Si l'acteur de la menace ou l'appelant réussit, il convaincra l'employé de fournir un accès à distance au système via un outil tel que Microsoft Quick Assist. Le blog Microsoft sécurité propose un guide étape par étape sur la façon dont Black Basta a utilisé cette méthode pour obtenir un accès initial. Si vous n'êtes pas familier avec le fonctionnement de ces attaques, envisagez de consulter cet article de blog et cet article de Microsoft sur la sécurisation de Microsoft Teams.

Quelques éléments à noter ici. Tout d'abord, et surtout, c’est un exemple de la façon dont des acteurs malveillants transforment le service d’assistance de l’entreprise en vecteur d’attaque. Dans cette attaque, le service d'assistance est usurpé, et l'acteur de la menace compte sur le fait que l'employé ne sait pas faire la différence entre un acteur de la menace et un support technique légitime. Le ransomware Chaos utilise actuellement une variante de cette attaque, et nous avons observé cela par le passé avec Black Basta et d'autres. Vous pouvez combattre ce type d'attaque par la formation des employés et des politiques de sécurité qui exigent une vérification pour le support du service d'assistance. Consultez ce blog RSA pour plus d'informations sur la sécurité du service d'assistance.

Un autre point important ici est que les attaques de phishing vocal (vishing) sont souvent menées par des acteurs malveillants spécialisés dans la fraude téléphonique. Ces « appelants » font de la publicité pour leurs services sur des forums ou des marketplaces consacrés à la criminalité. Des groupes d'appelants organisés peuvent proposer des services de vishing et des escroqueries spécialisées, par exemple en demandant aux victimes d'approuver les invites de la MFA. Vous pouvez également trouver des annonces de recrutement comme celle-ci : 

Les appelants maîtrisent généralement l'anglais et d'autres langues, et possèdent d'excellentes compétences verbales et conversationnelles. Le rôle d'un appelant consiste à contacter une cible, à se faire passer pour une personne de confiance et à manipuler les victimes pour qu'elles participent à l'escroquerie. Il s'agit d'un type particulier d'escroquerie que certains groupes de ransomware souhaitent déléguer à d'autres. Qu'un groupe utilise des appelants internes ou tiers, vous ne pouvez pas supposer qu'un scammer aura un accent perceptible ou une voix d'IA.

Vous pouvez voir des exemples de tentatives de phishing vocal et d’appels agressifs dans des vidéos de « scambaiting » sur YouTube. Avertissement : certains auteurs d'escroqueries suppriment le langage et les phrases offensantes, mais vous pouvez supposer que tout contenu d'escroquerie est inapproprié pour le travail et les enfants.

Chaîne d'attaque SafePay

Outre le social engineering, SafePay a été observé utilisant des identifiants volés, des mots de passe faibles ou par défaut, des exploits et des erreurs de configuration de sécurité pour accéder aux systèmes. Ils peuvent établir l'accès par eux-mêmes ou acheter l'accès auprès d'un courtier d'accès initial (IAB). Une fois l'accès initial établi, l'attaque se poursuit selon les étapes classiques.

Élévation des privilèges : Une fois au sein du réseau, les pirates augmentent leurs privilèges pour gagner un contrôle accru. Les techniques consistent à exploiter les vulnérabilités du système d'exploitation et les faiblesses de sécurité, ainsi qu'à voler des identifiants à l'aide d'outils comme Mimikatz. Cela permet à l'attaque de passer d'un accès utilisateur de base à des droits d'administrateur ou de niveau système. En cas de succès, les pirates pourraient obtenir un accès illimité lors des phases suivantes de l'attaque.

Mouvement latéral : les pirates se déplacent au sein du réseau pour découvrir des données sensibles et des ressources supplémentaires. À ce stade, ils utilisent plusieurs techniques « living-off-the-land » pour cartographier le réseau et suivre les autres étapes de l'attaque.

Contournement des mesures de défense : l'attaque tentera de désactiver l'antivirus, d'effacer les journaux d'événements, de masquer le code malicieux et de modifier les registres système pour désactiver les alertes de sécurité. SafePay tente également d'établir une persistance, généralement en modifiant les éléments de lancement ou en configurant le logiciel d'accès à distance. La persistance est utilisée pour reprendre une attaque interrompue et établir un accès à long terme au système si nécessaire.  

Collecte de données et exfiltration : les données sont identifiées, collectées et compressées pour être exfiltrées. SafePay a été observé utilisant WinRAR et 7-Zip pour la compression, et RClone et FileZilla FTP pour le transfert de données.

Chiffrement et extorsion : une fois les données critiques exfiltrées, la charge utile du ransomware chiffre les fichiers et les renomme avec l'extension .safepay.  SafePay dépose une demande de rançon (readme_safepay.txt) avec des instructions de paiement et des menaces de divulgation de données sur des sites de fuite. 

Motivation et victimes notables

SafePay est une opération de ransomware motivée par des considérations financières, comme le démontre l'utilisation constante de la double extorsion (chiffrement + fuites de données) et cette demande de rançon :

Nous ne sommes pas un groupe à motivation politique et nous ne voulons rien d'autre que de l'argent.

Les demandes de rançon de SafePay sont substantielles, généralement calculées à 1 à 3 % du chiffre d'affaires annuel de la victime. Une demande de rançon peut être significativement réduite si la victime fait face à des répercussions réglementaires pour avoir payé une rançon.

L'une des victimes les plus médiatisées de SafePay est Ingram Micro, une entreprise mondiale de distribution et de services informatiques. L’attaque a été confirmée début juillet 2025, mais Ingram Micro n’a pas nommé le pirate. Les chercheurs ont lié cet incident à SafePay en se basant sur des preuves publiées sur le site de fuites du groupe et sur des renseignements sur les menaces partagés par des services de surveillance du Dark Web. L'attaque a perturbé les opérations principales à l'échelle mondiale, et les analystes du secteur ont estimé des pertes d'au moins 136 millions de dollars de ventes par jour en raison de l'incapacité de traiter les commandes.

SafePay a attaqué Microlise en octobre 2024. Microlise est une société basée au Royaume-Uni qui fournit des solutions technologiques de gestion des transports, telles que le suivi de la flotte, la communication avec les conducteurs, la santé et la sécurité des véhicules, etc. Cela a perturbé les opérations des clients de Microlise, notamment les livraisons par DHL et les systèmes de sécurité des fourgons de prisonniers utilisés par le ministère britannique de la Justice.  

Protégez-vous

Se défendre contre le ransomware SafePay nécessite une stratégie de cybersécurité complète. Cela inclut des contrôles techniques tels que l'authentification multifacteur, des mises à jour régulières, une détection et une réponse renforcées aux points de terminaison, ainsi qu'une segmentation du réseau. Il devient de plus en plus important de former les employés sur le vishing et les autres attaques de social engineering. Et bien sûr, toutes les entreprises devraient avoir une solution de backup complète anti-ransomware en place, et les équipes devraient régulièrement tester le processus de récupération.

Vous pouvez compter sur Barracuda

N'attendez pas pour vous protéger. Le meilleur moment pour lutter contre les ransomwares est avant qu’ils ne frappent. Protégez votre entreprise grâce à des solutions de protection contre les ransomwares qui bloquent les e-mails phishing, protègent vos applications web et sécurisent les données critiques de votre entreprise. Avec les conseils d’experts en cybersécurité, vous pouvez élaborer un plan de protection contre les ransomware pour votre entreprise.