Charité assiégée : le ransomware Safepay frappe la Wadzeck-Stiftung historique de Berlin

L’hiver devait être une saison tranquille de plus pour la Wadzeck-Stiftung de Berlin, un refuge séculaire pour les jeunes vulnérables. Mais fin décembre 2025, cette association emblématique s’est retrouvée dans la ligne de mire numérique du groupe de ransomware Safepay - un nom désormais murmuré avec crainte dans tout le secteur associatif européen. L’attaque, découverte et signalée par ransomware.live, rappelle crûment que même les institutions les plus bienveillantes ne sont pas à l’abri des cybercriminels d’aujourd’hui.

Une association dans la ligne de mire

Fondée il y a plus de deux siècles, la Wadzeck-Stiftung s’est longtemps imposée comme un pilier du soutien communautaire pour les enfants les plus vulnérables de Berlin. Mais cet héritage en a fait une cible de choix pour Safepay, un groupe de ransomware qui vise de plus en plus les organisations perçues comme les moins capables de résister à la perturbation ou à la mauvaise publicité. L’attaque, détectée le 27 décembre 2025, a vu le nom de l’association publié sur un site de fuite du dark web, signe probable que des données ont été exfiltrées et qu’une demande de rançon a été formulée.

Si l’ampleur exacte de la violation reste incertaine, l’incident met en lumière une tendance inquiétante : les cybercriminels n’épargnent plus les institutions à mission humanitaire. Leur logique est simple et implacable : les associations, souvent sous-financées et peu protégées, peuvent se sentir contraintes de payer rapidement pour reprendre leurs activités essentielles et préserver la confidentialité des personnes qu’elles accompagnent.

Ombres techniques

Safepay, comme de nombreux opérateurs de ransomware modernes, utilise un modèle de « double extorsion ». D’abord, ils chiffrent les données critiques, bloquant l’accès du personnel aux systèmes essentiels. Ensuite, ils menacent de publier en ligne des informations sensibles si leurs exigences ne sont pas satisfaites. Les enregistrements DNS du domaine de la Wadzeck-Stiftung ont été trouvés publiquement, mais le contenu réel des fichiers volés reste inconnu, ransomware.live rappelant sa politique de non-distribution et de non-accès aux données illicites.

Le secteur associatif allemand fait face à une montée des menaces cyber, les attaquants exploitant des infrastructures informatiques obsolètes et des budgets cybersécurité limités. Cet incident sonne comme un avertissement pour les organisations similaires : personne n’échappe à l’attention des extorqueurs numériques, et le besoin de défenses robustes n’a jamais été aussi pressant.

Réflexions après la tempête

Pour la Wadzeck-Stiftung, l’attaque dépasse la simple crise technique : c’est un coup porté à la confiance, à la communauté et à l’histoire. Tandis que les autorités et les experts en cybersécurité s’efforcent d’évaluer les dégâts, la leçon générale est claire : l’ère numérique exige la vigilance même des institutions les plus altruistes. Dans l’univers obscur du ransomware, aucune bonne action n’est laissée impunie.

WIKICROOK

• Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant une rançon pour en restaurer l’accès.
• Double extorsion : La double extorsion est une tactique où les attaquants chiffrent les fichiers et volent des données, menaçant de les divulguer si la rançon n’est pas payée.
• Enregistrements DNS : Les enregistrements DNS sont des instructions numériques qui dirigent le trafic internet vers les bons serveurs, garantissant l’accessibilité et la sécurité des sites et services.
• Exfiltration : L’exfiltration est le transfert non autorisé de données sensibles d’un réseau victime vers un système externe contrôlé par les attaquants.
• Site de fuite : Un site de fuite est un site web où les cybercriminels publient ou menacent de publier des données volées pour faire pression sur les victimes afin qu’elles paient une rançon.