💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Rançongiciel AKIRA : près de 200 entreprises suisses ciblées depuis 2023

Image de hackers en sweat à capuche devant plusieurs écrans d'ordinateur, symbolisant le groupe AKIRA créant des logiciels malveillants, dans un bureau moderne avec des serveurs.
brève actu
Les attaques du groupe AKIRA touchent 200 entreprises suisses, causant des millions de pertes. Les autorités suisses intensifient leur enquête pour contrer ces cyberattaques.

Le groupe de cybercriminels connu sous le nom d’AKIRA a intensifié ses activités en Suisse, ciblant près de 200 entreprises avec des attaques par rançongiciel. Depuis son apparition en mars 2023, AKIRA a causé des préjudices s’élevant à plusieurs millions de francs suisses, et à plusieurs centaines de millions de dollars à l’échelle mondiale.

Le Ministère public de la Confédération suisse (MPC) a lancé une procédure pénale en avril 2024, coordonnée par l’Office fédéral de la police (fedpol) et l’Office fédéral de la cybersécurité (OFCS), avec la collaboration des autorités internationales. Ces attaques, qui se sont intensifiées récemment, mettent en lumière la nécessité cruciale de renforcer la sécurité informatique des entreprises suisses pour éviter de devenir des cibles faciles.

Tactiques et impacts des attaques du groupe AKIRA

Le groupe AKIRA utilise une méthode connue sous le nom de double extorsion pour piéger ses victimes. Cette technique consiste à voler d’abord les données de l’entreprise avant de les chiffrer, rendant l’accès impossible sans paiement de rançon. Si la rançon n’est pas payée, ces données sont publiées sur un blog du darknet appelé DLS (Data Leak Site). Les paiements sont généralement exigés en cryptomonnaie, notamment en Bitcoin, ce qui complique la traçabilité des transactions. Ces attaques ont atteint un rythme inquiétant de quatre à cinq incidents par semaine en Suisse, un chiffre sans précédent selon les autorités. Les entreprises touchées voient leurs opérations considérablement perturbées, et la menace de publication de données sensibles sur le darknet accroît la pression pour payer les rançons. Selon le site officiel de l’OFCS, le groupe a exploité des failles dans les systèmes de sécurité des entreprises, souvent dues à des mises à jour non effectuées ou à une authentification insuffisante sur les accès à distance.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Les autorités suisses exhortent les entreprises à signaler toutes les tentatives d’extorsion pour augmenter les pistes d’enquête et optimiser les chances de neutraliser les cybercriminels. Cependant, de nombreux cas restent non signalés, car les victimes craignent pour leur réputation et préfèrent payer les rançons en secret. Cette réticence à coopérer freine les efforts des autorités pour démanteler le réseau AKIRA. Le MPC, en collaboration avec fedpol et l’OFCS, insiste sur l’importance de ne pas céder aux demandes de rançon, car cela ne fait que financer davantage les activités illégales du groupe. Les autorités recommandent de consulter les experts avant de prendre toute décision suite à une attaque, comme le rapporte le communiqué de presse officiel.

Pour se protéger contre de telles attaques, il est essentiel de renforcer les systèmes de sécurité des entreprises. Les autorités suggèrent de mettre à jour régulièrement les systèmes, d’utiliser une authentification à deux facteurs pour les accès à distance comme les VPN et le RDP, et de sécuriser les sauvegardes de données. En cas d’incident, il est crucial de bloquer toutes les connexions Internet, de vérifier et de sécuriser les sauvegardes, et de déconnecter physiquement les systèmes infectés du réseau. Le but principal est d’identifier la source de l’infection pour prévenir toute future attaque. Les autorités encouragent également à déposer une plainte pénale dans tous les cas, afin de contribuer à l’effort collectif de lutte contre ces criminels. Ces recommandations visent à minimiser les risques et à renforcer la résilience des entreprises face aux menaces croissantes des rançongiciels.

Pour en savoir plus sur AKIRA

Qui est AKIRA
Le groupe AKIRA est une opération de ransomware-as-a-service (RaaS) apparue en mars 2023.
Il cible des organisations dans de nombreux secteurs (éducation, santé, manufacturing, IT services) et dans plusieurs zones géographiques : Amérique du Nord, Europe, Australie.
Plusieurs analystes observent un lien technique ou financier avec l’ancien groupe Conti (qui s’était dissous en 2022) : partages de portefeuilles Bitcoin, similitudes de code.

Méthodes & particularités

  • Modèle RaaS : AKIRA fournit l’infrastructure (maliciel, portail de négociation, data leak site) à des affiliés qui mènent les intrusions.
  • Double extorsion : l’attaquant exfiltre des données, puis chiffre les systèmes ; la rançon couvre à la fois la décryption et la non-publication des données volées.
  • Cibles larges : Contrairement aux seules grandes entreprises, AKIRA attaque également des moyennes organisations (SMB), souvent avec des défenses faibles (VPN exposés, MFA non activé).
  • Technique d’intrusion : exploitation de vulnérabilités de VPN/pare-feu ou usage de comptes d’accès volés. Exemple : une vulnérabilité dans le VPN/pare-feu (CVE-2023-20269) exploitée par AKIRA. Une fois dans le réseau : reconnaissance, mouvement latéral, suppression de shadow copies, arrêt de protections.
  • Variants multiplateformes : Le maliciel AKIRA existe pour Windows et pour Linux/VMware ESXi (impact sur environnement virtualisé).
  • Branding & leak site : AKIRA utilise un site .onion pour la publication des victimes, affichant un « look » rétro type terminal vert des années 80.

Histoire & données clés

  • Emergence : mars 2023.
  • Estimations publiques : plus de 250 organisations attaquées et environ 42 M USD de rançons encaissées entre mars 2023 et avril 2024.
  • Le groupe ne revendique pas d’allégeance politique ou géopolitique ; son unique objectif affiché est le profit.

Particularités à retenir pour les professionnels

  • Une infrastructure de négociation professionnelle : AKIRA utilise un portail de chat privatisé pour négocier avec les victimes.
  • Le recours à des vulnérabilités externes (VPN, pare-feu) et des comptes compromis rend les défenses externes faibles particulièrement vulnérables.
  • Le modèle RaaS multiplie les « commodités criminelles » : des affiliés moins experts peuvent lancer des attaques soutenues.
  • L’extension vers Linux/ESXi signifie que les environnements virtualisés (souvent perçus comme « mieux protégés ») sont aussi visés.
  • La double extorsion pose un enjeu complémentaire : même si le chiffrement est stoppé, les données volées peuvent être publiées.

Ransomware Akira : Tendances des attaques et défense | Qualys

Le rançongiciel Akira évolue rapidement. Découvrez son fonctionnement, ses cibles et comment vous en protéger grâce à des stratégies de sécurité avancées.

Lire la suite sur blog.qualys.com
Ransomware Akira : Tendances des attaques et défense | Qualys

#StopRansomware : Akira Ransomware | LPCC

Depuis mars 2023, le rançongiciel Akira a touché un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Europe et en Australie. En avril 2023, après s’être d’abord concentré sur les systèmes Windows, les cybercriminels ont déployé une variante Linux ciblant les machines virtuelles VMware ESXi. Au 1er janvier 2024, le groupe de rançongiciels avait touché plus de 250 organisations et réclamé environ 42 millions de dollars américains de rançongiciels.

Lire la suite sur cisa.gov
Smartphone scannant un QR code pour payer une rançon en cryptomonnaie

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Guide pratique pour disséquer les logiciels malveillants

Guide pratique pour disséquer les logiciels malveillants

🤔Lorsqu'un logiciel malveillant brise vos défenses, vous devez agir rapidement pour traiter les infections actuelles et prévenir les futures.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏