Sinobi
Sinobi est un groupe de ransomware apparu au milieu de l'année 2025 et qui a rapidement attiré l'attention en raison de son style opérationnel discipliné et de sa maturité technique.
L'origine de Sinobi
Le nom du groupe est une référence stylisée au terme japonais shinobi (« ninja »), qui reflète l'importance accordée à la discrétion et à la précision lors des intrusions. Malgré cette image de marque thématique, l'analyse des renseignements sur les menaces attribue aux opérateurs de Sinobi des origines russes ou est-européennes, sur la base d'artefacts linguistiques, de modèles d'activité et de comportements visant à éviter les cibles.
Sinobi fonctionne selon un modèle hybride fermé de ransomware en tant que service (RaaS). Une petite équipe centrale gère le code source du ransomware, l'infrastructure, les portails de négociation et les opérations financières, tandis qu'un groupe d'affiliés soigneusement sélectionnés mène les intrusions. Contrairement aux écosystèmes RaaS ouverts, Sinobi ne recrute pas publiquement d'affiliés, privilégiant la sécurité opérationnelle et la confiance plutôt que l'expansion rapide.
De multiples similitudes techniques et infrastructurelles indiquent que Sinobi est probablement une nouvelle version ou le successeur direct du groupe de ransomware Lynx, qui avait lui-même hérité du code du ransomware INC précédent. Le cryptage Sinobi utilise la même conception cryptographique dérivée de Babuk (Curve25519 ECDH combiné à AES-128-CTR), ce qui indique une réutilisation du code et des développeurs expérimentés. Dans l'ensemble, Sinobi représente une opération de ransomware motivée par des raisons financières, mais hautement professionnelle, plutôt qu'un acteur soutenu par un État.
Pays ciblés par Sinobi
La majorité des victimes connues se trouvent aux États-Unis, mais d'autres activités ont été observées au Canada, au Royaume-Uni, en Australie, en Israël et dans certaines régions de l'Asie-Pacifique. Sinobi évite systématiquement les victimes en Russie et en Europe de l'Est, une stratégie d'autoprotection courante parmi les groupes cybercriminels russophones.
Secteurs ciblés par Sinobi
Sinobi cible principalement les entreprises manufacturières et industrielles, suivies par les secteurs de la construction, de l'ingénierie, des services financiers, de la santé et de l'éducation. Ces secteurs ont été choisis en raison de leur faible tolérance aux temps d'arrêt et des conséquences réglementaires ou réputationnelles liées à l'exposition des données. Le groupe évite les très petites entreprises, probablement en raison du potentiel de rançon limité.
Les victimes de Sinobi
Les victimes sont généralement des entreprises de taille moyenne à grande, dont le chiffre d'affaires annuel se situe entre 10 et 50 millions de dollars. Au troisième trimestre 2025, environ 40 victimes confirmées avaient été publiées sur l'infrastructure de fuite de Sinobi. Il n'y a aucune indication concernant les secteurs protégés, mais les entités gouvernementales et les infrastructures nationales critiques sont généralement évitées afin de limiter l'attention des forces de l'ordre.
Méthode d'attaque de Sinobi
Sinobi obtient un premier accès principalement en exploitant des identifiants valides, le plus souvent des identifiants VPN ou RDP achetés auprès de courtiers en accès initiaux ou récupérés lors d'une compromission antérieure. Sinobi mène également phishing pour voler des identifiants ou déployer malware exploite activement les vulnérabilités des infrastructures connectées à Internet, notamment les appliances SSL-VPN SonicWall et autres périphériques non patchés. Dans certains cas, Sinobi tire parti de l'accès de tiers de confiance ou de MSP pour s'introduire dans les environnements des victimes.
Sinobi augmente ses privilèges peu après son accès initial en exploitant les fonctionnalités administratives intégrées à Windows. Sinobi crée fréquemment de nouveaux comptes administrateurs locaux ou élève les comptes existants afin de garantir un contrôle illimité sur les systèmes compromis.
Sinobi échappe activement à la détection en désactivant les outils endpoint , en modifiant les configurations des pare-feu, en effaçant les journaux et en supprimant les sauvegardes. Sinobi entrave également les mécanismes de récupération en supprimant les clichés instantanés et en réduisant la visibilité sur les activités des attaquants.
Sinobi récolte les identifiants des systèmes compromis afin de faciliter les mouvements latéraux. Bien que l'on n'observe pas toujours l'utilisation d'outils spécifiques, Sinobi s'appuie fortement sur la réutilisation des identifiants et les accès administratifs déjà présents dans l'environnement.
Sinobi effectue une reconnaissance interne approfondie à l'aide de scripts personnalisés et de commandes système natives. Sinobi répertorie Active Directory, identifie les utilisateurs privilégiés, cartographie les partages réseau, localise les outils de sécurité et identifie les serveurs à forte valeur ajoutée tels que les serveurs de fichiers, les serveurs de messagerie et les systèmes de sauvegarde.
Sinobi se déplace latéralement à travers le réseau à l'aide des protocoles RDP et SMB, en s'authentifiant avec des identifiants volés ou réutilisés. Sinobi privilégie les techniques « living-off-the-land », mélangeant les activités malveillantes avec le trafic administratif légitime afin d'éviter de déclencher des alertes.
Sinobi collecte des données sensibles avant leur chiffrement, notamment des documents, des bases de données, des archives d'e-mails et des sauvegardes. Sinobi donne la priorité aux informations qui augmentent le pouvoir de chantage, telles que la propriété intellectuelle, les données clients et les dossiers réglementés.
Sinobi exécute la charge utile du ransomware manuellement ou via un déploiement scripté une fois que l'accès et la collecte de données sont suffisants. L'exécution a généralement lieu en dehors des heures de bureau afin de retarder la détection et la réponse.
Sinobi exfiltre les données volées à l'aide d'outils légitimes tels que Rclone ou des clients FTP sécurisés. Sinobi transfère les données via des canaux cryptés, en utilisant fréquemment une infrastructure basée sur Tor ou des services web anonymisés pour dissimuler les destinations.
Sinobi chiffre les fichiers à l'aide d'un cryptage puissant, ajoute une extension personnalisée, supprime les clichés instantanés de volume, met fin aux services critiques et diffuse des notes de rançon dans tout l'environnement. Sinobi modifie également les fonds d'écran des ordinateurs de bureau afin de garantir la visibilité de l'attaque et lance une double extorsion en menaçant de divulguer des données publiques si le paiement n'est pas effectué.
Sinobi obtient un premier accès principalement en exploitant des identifiants valides, le plus souvent des identifiants VPN ou RDP achetés auprès de courtiers en accès initiaux ou récupérés lors d'une compromission antérieure. Sinobi mène également phishing pour voler des identifiants ou déployer malware exploite activement les vulnérabilités des infrastructures connectées à Internet, notamment les appliances SSL-VPN SonicWall et autres périphériques non patchés. Dans certains cas, Sinobi tire parti de l'accès de tiers de confiance ou de MSP pour s'introduire dans les environnements des victimes.
Sinobi augmente ses privilèges peu après son accès initial en exploitant les fonctionnalités administratives intégrées à Windows. Sinobi crée fréquemment de nouveaux comptes administrateurs locaux ou élève les comptes existants afin de garantir un contrôle illimité sur les systèmes compromis.
Sinobi échappe activement à la détection en désactivant les outils endpoint , en modifiant les configurations des pare-feu, en effaçant les journaux et en supprimant les sauvegardes. Sinobi entrave également les mécanismes de récupération en supprimant les clichés instantanés et en réduisant la visibilité sur les activités des attaquants.
Sinobi récolte les identifiants des systèmes compromis afin de faciliter les mouvements latéraux. Bien que l'on n'observe pas toujours l'utilisation d'outils spécifiques, Sinobi s'appuie fortement sur la réutilisation des identifiants et les accès administratifs déjà présents dans l'environnement.
Sinobi effectue une reconnaissance interne approfondie à l'aide de scripts personnalisés et de commandes système natives. Sinobi répertorie Active Directory, identifie les utilisateurs privilégiés, cartographie les partages réseau, localise les outils de sécurité et identifie les serveurs à forte valeur ajoutée tels que les serveurs de fichiers, les serveurs de messagerie et les systèmes de sauvegarde.
Sinobi se déplace latéralement à travers le réseau à l'aide des protocoles RDP et SMB, en s'authentifiant avec des identifiants volés ou réutilisés. Sinobi privilégie les techniques « living-off-the-land », mélangeant les activités malveillantes avec le trafic administratif légitime afin d'éviter de déclencher des alertes.
Sinobi collecte des données sensibles avant leur chiffrement, notamment des documents, des bases de données, des archives d'e-mails et des sauvegardes. Sinobi donne la priorité aux informations qui augmentent le pouvoir de chantage, telles que la propriété intellectuelle, les données clients et les dossiers réglementés.
Sinobi exécute la charge utile du ransomware manuellement ou via un déploiement scripté une fois que l'accès et la collecte de données sont suffisants. L'exécution a généralement lieu en dehors des heures de bureau afin de retarder la détection et la réponse.
Sinobi exfiltre les données volées à l'aide d'outils légitimes tels que Rclone ou des clients FTP sécurisés. Sinobi transfère les données via des canaux cryptés, en utilisant fréquemment une infrastructure basée sur Tor ou des services web anonymisés pour dissimuler les destinations.
Sinobi chiffre les fichiers à l'aide d'un cryptage puissant, ajoute une extension personnalisée, supprime les clichés instantanés de volume, met fin aux services critiques et diffuse des notes de rançon dans tout l'environnement. Sinobi modifie également les fonds d'écran des ordinateurs de bureau afin de garantir la visibilité de l'attaque et lance une double extorsion en menaçant de divulguer des données publiques si le paiement n'est pas effectué.