Barracuda full logo

Sinobi : le groupe de ransomware huppé qui aspire à être un ninja

Thèmes:
18 nov. 2025
|
Christine Barry

La marque de ransomware Sinobi est apparue à la mi-2025 et s’est rapidement distinguée par des intrusions calculées, une sécurité opérationnelle rigoureuse et une structure professionnelle révélant des opérateurs hautement qualifiés et bien connectés.

Sinobi est une organisation hybride de ransomware-as-a-service (RaaS). Ses principaux membres travaillent avec des affiliés bien sélectionnés afin de maintenir un contrôle centralisé et une capacité opérationnelle distribuée. Les techniques du groupe s'améliorent à mesure qu’il mûrit. Les activités de Sinobi se caractérisent par des intrusions discrètes, des outils modulaires, un ciblage sélectif et une grande importance accordée à la furtivité et à l'effet de levier. Le groupe est également connu pour son utilisation extensive et sophistiquée des techniques Living-off-the-Land (LotL) et des binaires Living-off-the-Land (LOLBins).

Voici un aperçu rapide de ce groupe :

 

FONCTIONNALITÉ

Description

Type de menace

Groupe RaaS hybride utilisant des opérateurs internes et des partenaires affiliés vérifiés pour des attaques ciblées de double extorsion.

Caractéristique unique

Chaîne d'intrusion modulaire, opérations LoTL sophistiquées ressemblant à celles d'un État-nation.

Cibles

Organisations de taille moyenne à grande dans de multiples secteurs aux États-Unis et dans les pays alliés.

Accès initial

Compromission d'identifiants, exploitation d'applications et d'accès à distance, et compromission de la chaîne d'approvisionnement tierce.

Méthode d’extorsion

Exfiltration et chiffrement des données.

Site de divulgation

« Sinobi » : un site de divulgation simple basé sur Tor qui répertorie les victimes, échantillonne les données volées et propose un compte à rebours. Le groupe gère des sites de divulgation et de discussion distincts, tous deux dotés de miroirs sur le Web normal.

 

Site de fuite de données Sinobi, via Ransomware.Live

Dénomination et localisation

Le mot Sinobi semble être une référence stylisée délibérée à « shinobi », un terme japonais ancien désignant un ninja. Les premières communications internes sur les forums du Dark Web montraient que les affiliés utilisaient des phrases telles que « quiet in, quiet out » (« entrée discrète, sortie discrète »), renforçant ainsi la conviction que l'identité de la marque est censée refléter la furtivité et la précision d'un ninja.

Malgré le nom d'inspiration japonaise, les modes de communication, les particularités linguistiques et les fenêtres d'activité indiquent des origines russes et est-européennes. L'outillage et les négociations de Sinobi utilisent principalement le russe et l’anglais, sans aucune preuve d'affiliation à un État. Il s'agit d'un groupe de cybercriminalité à motivation financière opérant dans un écosystème régional bien connu. Une recherche indépendante de Rakesh KRISHNAN (The Raven File) confirme la localisation d'au moins une adresse IP en Russie : 

 

Des recherches indépendantes menées par Rakesh KRISHNAN situent au moins un serveur Sinobi en Russie.

Sinobi propose des miroirs sur le Web normal de ses sites de divulgation et de discussion présents sur le Dark Web, mais la majeure partie de son infrastructure repose sur des ressources basées sur TOR, des forums du Dark Web et des services de messagerie chiffrés tels que Telegram. Cela rend difficile la visualisation et la collecte des adresses IP des serveurs de commande et de contrôle (C2).

Victimologie, opérations et modèle économique

Sinobi ne semble pas adhérer aux intérêts d’un État ni à aucune autre idéologie. Le groupe se concentre sur les entreprises ayant une très faible tolérance aux interruptions ou aux fuites de données.  L'industrie manufacturière, les services aux entreprises, le secteur de la santé, les services financiers, l'enseignement et d'autres secteurs ont tous été victimes de Sinobi. Le groupe cible rarement les petites entreprises, probablement en raison du faible « retour sur investissement » (de l'attaque).

 

Résumé des victimes de l'attaque de Sinobi par secteur, via MOXFIVE

Il n’existe aucune information publique sur les régions ou secteurs « protégés ». Toutefois, Sinobi se concentre essentiellement sur les entités situées aux États-Unis, et accessoirement sur le Canada, l’Australie et les pays alliés. Le groupe évite les cibles qui pourraient susciter une réponse politique ou des forces de l’ordre, en particulier les pouvoirs publics, les infrastructures vitales et les entités situées en Europe de l’Est.

Sinobi se distingue des programmes RaaS ouverts qui permettent aux affiliés de s’inscrire ou de demander à être affiliés. Le groupe s’appuie sur un réseau privé et vérifié de spécialistes connus du groupe ou présentés par des sources fiables. Cette approche permet à Sinobi d’éviter les activités de recrutement de ce type :

 

Publication de recrutement DragonForce RaaS sur le forum underground, via Specops

Parce que Sinobi ne recrute pas comme les autres groupes RaaS, il n'existe pas de liste publique des règles du groupe, des exigences des affiliés, des cibles interdites ou d'autres détails opérationnels. Cela réduit l'exposition du groupe à l'infiltration des forces de l'ordre et limite les possibilités d’effectuer du renseignement open source (OSINT).

Les chercheurs pensent que les principaux opérateurs de Sinobi maintiennent le code du ransomware et l'infrastructure basée sur Tor, mènent les négociations, gèrent le blanchiment d'argent et les systèmes d'encaissement, et veillent à l’application des règles du groupe. Les affiliés mènent les attaques depuis l'intrusion jusqu'au déploiement de ransomware. Cette répartition des responsabilités est basée sur les modèles observés dans les opérations de Sinobi, les notes de rançon, les structures de portail et les processus de négociation. Il n'y a aucune confirmation publique à ce sujet, et la répartition des revenus entre les membres principaux et les affiliés est inconnue.

Chaîne d'attaque

Comme la plupart des menaces liées aux ransomwares, la chaîne d'attaque de Sinobi commence par l'obtention d’un accès initial à l’environnement de la victime. Le groupe a été observé utilisant des courtiers en accès initial (ou IAB pour Initial Access Brokers), des attaques par hameçonnage via des kits d’hameçonnage de base et exploitant des VPN vulnérables, des pares-feux ou des systèmes d’accès à distance tels que Citrix ou Fortinet. Sinobi a également eu recours à un tiers compromis et a suivi une chaîne d’approvisionnement pour infiltrer sa victime.

Les opérateurs de Sinobi suivent une chaîne d'attaque standard qui présente un grand nombre de caractéristiques observées chez RansomHub, ALPHV/BlackCat et d'autres groupes depuis la fuite du ransomware Conti.

Une fois à l'intérieur du système, Sinobi commence immédiatement une intrusion en effectuant des manipulations sur le clavier qui utilise à la fois des outils personnalisés et des utilisations abusives de type « living-off-the-land » (LotL).  Les pirates commencent à augmenter leurs privilèges et à contourner la sécurité, notamment en créant de nouveaux comptes administrateurs, en ajustant les autorisations et en désactivant les outils de sécurité des terminaux. Ils commencent également à établir une persistance en configurant des outils d'accès à distance légitimes.

Sinobi dépose ensuite un script de reconnaissance léger qui automatise les déplacements latéraux et effectue des tâches supplémentaires pour contourner les mesures de sécurité. Le script est configuré pour énumérer les informations relatives au domaine, localiser les partages de fichiers, identifier les comptes privilégiés et vérifier les solutions de sécurité des terminaux susceptibles de perturber une attaque par ransomware.

L'exfiltration des données commence une fois que les pirates ont terminé leur reconnaissance et configuré Rclone, WinSCP ou un autre outil de transfert de fichiers. Les données sont envoyées vers un système de stockage sur le cloud ou un autre emplacement hors site, et le binaire du ransomware est exécuté une fois cette opération terminée.

Il n'existe pas de nom de fichier unique pour le binaire du ransomware, mais il s'agit généralement d'un nom générique ou dissimulé comme « bin.exe ». Ce fichier supprime la corbeille, chiffre les fichiers, ajoute l'extension .SINOBI et dépose la demande de rançon README.txt dans chaque répertoire contenant des fichiers chiffrés. Le fond d'écran du bureau est ensuite remplacé par une image reprenant le texte de la demande de rançon. 

 

Début de la note de rançon Sinobi, via Ransomware.Live

Fin de la note de rançon Sinobi, via Ransomware.Live

La demande de rançon contient des informations sur le processus de communication et les URL du site de divulgation TOR. Il inclut également les URL du site public de divulgation sur le Web normal. Vous pouvez consulter la demande de rançon dans son intégralité ici.

À ce stade, les affiliés de Sinobi laisseront le groupe principal prendre le relais et gérer les communications, les fuites de données, etc.

Extorsion et négociation

Sinobi a commencé comme une opération d'extorsion simple, mais à la fin de 2024, il est passé à une approche complète de double extorsion utilisant un site de divulgation hébergé sur Tor. Les victimes sont généralement contactées via la demande de rançon mentionnée ci-dessus. Si les victimes ne coopèrent pas, Sinobi intensifie ses efforts en publiant des échantillons de données et en contactant des employés ou des clients. Le groupe menacera également l'entreprise d'une exposition réglementaire en vertu de cadres tels que le RGPD, l'HIPAA ou les exigences de divulgation de la SEC.

Les négociations sont gérées par un petit groupe d'opérateurs principaux qui utilisent des modèles de communication standardisés et des tactiques de pression adaptées au secteur d'activité et à la posture réglementaire de la victime. L'objectif est toujours de créer un sentiment d'urgence, pas de panique : une manipulation professionnelle plutôt que le chaos.

Amis et famille

L'histoire de Sinobi commence au milieu de l'année 2023, lorsqu'un groupe, connu sous le nom de INC ransomware, surgit de nulle part. INC serait un groupe original sans lien avec d'autres. Il a fonctionné comme un groupe de ransomware-as-a-service jusqu'en mai 2024, date à laquelle il a été proposé à la vente sur des forums clandestins.

 

Message publié sur un forum proposant à la vente le ransomware INC, via SOCRadar

Peu après la vente (présumée), la conception du site de divulgation INC a été modifiée comme suit :

 

Site d’INC ransomware, via Bleeping Computer

L'activité d'INC a diminué et un nouveau groupe appelé Lynx a émergé à peu près au même moment. Il n'existe aucune confirmation que les opérateurs de Lynx aient acheté le code source d'INC, mais Lynx est clairement un successeur d'INC.

Après un examen approfondi… un chevauchement important des fonctions partagées suggère fortement que les développeurs du ransomware Lynx ont emprunté et réutilisé une part considérable du code source d'INC pour créer leur propre logiciel malveillant. Via Unit42

Lynx a été une menace active et agressive pendant environ un an, puis a réduit ses activités à la mi-2025. Le groupe reste une menace, mais son activité a diminué vers l'époque où Sinobi a émergé en juin 2025.

Sinobi est largement considéré comme un nouveau nom, un successeur ou une émanation du ransomware Lynx. La conception du site de divulgation Lynx n'en est qu'une preuve parmi d'autres : 

 

Capture d'écran du site contenant un lien vers le ransomware Lynx, via Fortinet

Vous pouvez constater les similitudes entre les sites de divulgation INC, Lynx et Sinobi.

En outre, il existe des similitudes au niveau de la routine de chiffrement, de la victimologie, de la méthode de double extorsion et des procédures opérationnelles.

Sinobi tire pleinement parti de l’écosystème des menaces. Il achète régulièrement des accès auprès des courtiers en accès initial, loue des infrastructures auprès de fournisseurs d’hébergement à toute épreuve, se procure des identifiants sur les marchés du Darknet et s’associe occasionnellement à des opérateurs de botnets pour la distribution de l’hameçonnage. Ses pratiques de blanchiment et d’encaissement sont indiscernables de celles utilisées par Qilin et Akira.

Protégez-vous

Tous les indicateurs suggèrent que Sinobi est en pleine croissance. Alors que le marché des ransomwares continue de se fragmenter et d'évoluer, Sinobi est bien positionnée pour élargir sa base d'affiliés, renforcer ses outils et éventuellement ajouter des variantes ciblant Linux ou VMware ESXi. Son professionnalisme discret et sa fréquence de publication modérée indiquent un groupe qui préfère un revenu durable à une croissance explosive, ce qui peut l’aider à éviter le sort des groupes très médiatisés qui attirent une pression agressive des forces de l'ordre.

Sinobi représente une menace par ransomware avancée et agile. Les entreprises peuvent réduire considérablement les risques en se concentrant sur la gestion des identifiants, la sensibilisation des employés, la surveillance proactive et les investissements continus dans les flux de travail de sauvegarde, de détection et de réponse. La prévention et la réponse rapide sont actuellement les moyens les plus efficaces de défense contre cette menace.

Vous pouvez compter sur Barracuda

Optimisez votre protection et votre cyber-résilience grâce à la plateforme de cybersécurité BarracudaOne basée sur l’IA. La plateforme protège vos e-mails, vos données, vos applications et vos réseaux. Elle est renforcée par un service XDR géré 24 h/24, 7 j/7, qui unifie vos défenses de sécurité et fournit une détection et une réponse intelligentes et approfondies aux menaces. Gérez la posture de sécurité de votre organisation en toute confiance, en tirant parti de la protection avancée, des analyses en temps réel et des capacités de réponse proactive. Des outils de reporting performants vous fournissent des informations claires et exploitables, vous aidant à surveiller les risques, à mesurer le retour sur investissement et à démontrer l’impact opérationnel. Ne manquez pas d’ obtenir une démonstration de la plateforme en vous adressant à nos experts en cybersécurité.

 

Solutions Barracuda pour lutter contre les ransomwares
Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Malware Brief: Android in the crosshairs — FvncBot, SeedSnatcher, ClayRat
Malware Brief: Android in the crosshairs — FvncBot, SeedSnatcher, ClayRat
 Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
 Le bras long de la loi commence enfin à contrecarrer le smishing
Le bras long de la loi commence enfin à contrecarrer le smishing
 Cyberfraude : des escrocs imitent le site Web IC3 du FBI et se font passer pour des employés
Cyberfraude : des escrocs imitent le site Web IC3 du FBI et se font passer pour des employés
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.