Afiq Sam - stock.adobe.com

Actualites

Ransomware : un déchiffreur défectueux laisse les victimes de Sicarii dans l’incertitude

Une erreur de codage dans cette nouvelle souche de ransomware empêche les victimes de récupérer leurs données, même si elles coopèrent avec les pirates informatiques.

par
Publié le: 27 janv. 2026

Une erreur de codage, probablement due à une utilisation excessive des outils de codage basés sur l'intelligence artificielle (IA), a rendu une nouvelle souche de ransomware extrêmement dangereuse, selon les chercheurs du Ransomware Research Center (RRC) de Halcyon.

L'enseigne Sicarii de ransomware en mode service (RaaS) a émergé de la cybercriminalité clandestine en décembre 2025, lorsqu'elle a commencé à rechercher des affiliés sur le dark web.

Mais aujourd'hui, l'analyse technique réalisée par l'équipe de Halcyon a permis d'identifier une faille critique dans le traitement des clés de chiffrement de Sicarii, qui rend impossible le déchiffrement des systèmes affectés, tant pour les victimes que pour les cybercriminels.

La meilleure pratique pour les victimes de ransomware consiste à ne pas payer la rançon, notamment parce qu'il n'y a aucune garantie que les cybercriminels déchiffreront vos données. Cette faille apparente compromet fondamentalement la récupérabilité, rendant Sicarii encore plus dangereux.

« Ne payez pas la rançon demandée par les Sicarii », a déclaré Cynthia Kaiser, vice-présidente principale du RRC : « vous n'obtiendrez rien d'utile en retour. »

Mauvaise gestion des clés RSA

Le problème provient de la manière dont le binaire Sicarii gère son implémentation de RSA. Lorsque le rançongiciel se lance pour la première fois, il génère localement une nouvelle paire de clés RSA, utilise cette clé pour le chiffrement, mais supprime ensuite la clé privée pour une raison inconnue.

Au final, cette génération de clés « par exécution » signifie que le chiffrement n'est lié à aucune clé principale récupérable, de sorte que les victimes n'ont aucun moyen viable de déchiffrer les données et que les déchiffreurs fournis par les pirates sont inefficaces. En substance, le paiement d'une rançon n'améliore pas sensiblement les chances de récupération des données.

« Halcyon estime avec une confiance modérée que les développeurs ont peut-être utilisé des outils assistés par l'IA, ce qui aurait pu contribuer à cette erreur de mise en œuvre », estiment les chercheurs : « les organisations touchées par le ransomware Sicarii doivent partir du principe que le paiement de la rançon ne permettra pas de restaurer les données, à moins qu'il n'y ait une confirmation indépendante que ce défaut a été corrigé ».

La meilleure défense contre toute attaque avec ransomware reste de mettre en place au préalable des mesures de protection efficaces, en s'assurant que des sauvegardes protégées sont disponibles pour la restauration et en incluant, si possible, des solutions anti-ransomware dédiées.

Mais l'équipe d'Halcyon conseille que si une organisation est victime d'une attaque de Sicarii et qu'une récupération via un déchiffreur n'est pas possible, il ne convient pas de perdre son temps dans des négociations inutiles, mais plutôt se tourner vers d'autres moyens de récupération : isoler les systèmes affectés, conserver les preuves médico-légales, utiliser les journaux et la télémétrie disponibles pour déterminer l'étendue de la compromission et solliciter l'aide de tiers spécialisés dans la réponse aux incidents.

Qui sont les Sicarii ?

Dans l'histoire, les Sicarii étaient un groupe de rebelles juifs actifs pendant l'occupation romaine de la Judée. Nommés d'après leurs grands poignards recourbés, ou sica, les membres du groupe se seraient suicidés en masse vers 72-73 après J.-C. pendant le siège de Massada, une forteresse située au sommet d'une colline surplombant la mer Morte, dans l'actuel Israël.

Cette histoire se reflète dans le gang moderne Sicarii, qui se distingue des rançongiciels russophones en s'appuyant fortement sur la symbolique israélienne et juive. L'image de marque du gang intègre du texte en hébreu et fait référence à la Haganah, une organisation paramilitaire qui a combattu la domination britannique en Palestine avant l'indépendance d'Israël en 1948.

Selon Check Point, le gang Sicarii offre des incitations financières pour les attaques menées contre des États arabes ou musulmans et géolocalise son exécutable afin qu'il ne s'exécute sur aucun système situé en Israël.

Cependant, Check Point affirme qu'il existe plusieurs anomalies et incohérences qui rendent difficile de déterminer si Sicarii est réellement un groupe israélien spécialisé dans les ransomwares.

Entre autres choses, ses membres semblent maîtriser davantage l'anglais et le russe que l'hébreu : on les a observés traduisant directement en hébreu des expressions idiomatiques anglaises qui n'existent pas dans cette langue, et les chercheurs pensent que la posture idéologique du gang, susceptible de rebuter de nombreux affiliés, relève davantage d'un comportement performatif ou d'une opération sous faux pavillon que d'un véritable alignement sur Israël. Ses agents semblent quelque peu indisciplinés, ont ajouté les chercheurs.

L'analyse approfondie de Check Point sur Sicarii souligne que les précédentes campagnes cybernétiques attribuées à des acteurs alignés sur l'Iran exploitaient des références à l'histoire et aux mythes juifs, et inventaient des personnages israéliens pour mener des opérations sous faux pavillon.

À l'heure où sont publiées ces lignes, une seule victime a été publiquement revendiquée par Sicarii, le 5 janvier dernier.

Pour approfondir sur Menaces, Ransomwares, DDoS