Shutter2U - stock.adobe.com
INC Ransom, Lynx, Sinobi : trois marques, un seul groupe de ransomware
Les liens entre INC Ransom et Lynx ont été bien documentés. Un lien entre Lynx et Sinobi, a été fortement soupçonné, notamment du fait de similarité dans le code de leurs rançongiciels. Mais ils partagent aussi des éléments d’infrastructure.
Trois marques pour un seul groupe ? C’est ce que suggèrent des données récemment découvertes.
L’enseigne INC Ransom est suivie depuis août 2023, avec près de 600 victimes connues à ce jour. Lynx, de son côté, ce sont près de 350 victimes connues depuis la fin juillet 2024.
Les liens entre les deux enseignes ont été largement documentés, au point que, pour Palo Alto Networks, cela ne faisait aucun doute : Lynx devait être un rhabillage d’INC Ransom. Les deux continuent toutefois d’exister.
Sinobi est apparu bien plus tard, en juillet dernier, avec à ce jour plus de 150 victimes connues. Le site vitrine de Sinobi ressemble beaucoup à celui de Lynx. Le code de leurs deux rançongiciels présente également des similarités, relevées notamment par eSentire. De quoi encore suggérer une étroite parenté.
Mais il y a plus. Sinobi, INC Ransom et Lynx sont présents sur Tor mais disposent également de noms de domaine en clair. Surprise : tous trois pointent vers la même adresse IP, au moins depuis juillet 2025. Soit moins d’un mois après la découverte de Sinobi. Autrement dit : ces trois marques partagent non seulement du code, mais également de l’infrastructure.
Trois marques pour un seul groupe ? Vraisemblablement quatre en ajoutant Safepay.
Le site vitrine de Safepay a été découvert mi-novembre 2024, mais ses activités ont vraisemblablement commencé plus tôt, autour du mois d’août précédent. Son activité s’est fortement intensifiée depuis le mois de mars 2025.
Selon Yelisey Boguslaskiy, de RedSense, Safepay dispose de relations étroites avec les anciens de Nokoyawa, mais aussi les équipes de Play, Akira, Qilin et BlackSuit. L’enseigne aurait « siphonné les talents d’autres groupes » et leur « compétition est devenue la principale raison de la dissolution de Black Basta à l’automne 2024 ». Safepay ferait en outre partie d’une « triade plus large avec Lynx et INC ».
Plusieurs indices à notre disposition depuis plusieurs mois confortent cette affirmation : INC Ransom, Lynx et Safepay semblent avoir beaucoup en commun, au point que certains membres de cette triade se font des rappels pour savoir sous quelle marque revendiquer leurs victimes.
