brève actu
Les attaques du groupe AKIRA touchent 200 entreprises suisses, causant des millions de pertes. Les autorités suisses intensifient leur enquête pour contrer ces cyberattaques.
Le groupe de cybercriminels connu sous le nom d’AKIRA a intensifié ses activités en Suisse, ciblant près de 200 entreprises avec des attaques par rançongiciel. Depuis son apparition en mars 2023, AKIRA a causé des préjudices s’élevant à plusieurs millions de francs suisses, et à plusieurs centaines de millions de dollars à l’échelle mondiale.
Le Ministère public de la Confédération suisse (MPC) a lancé une procédure pénale en avril 2024, coordonnée par l’Office fédéral de la police (fedpol) et l’Office fédéral de la cybersécurité (OFCS), avec la collaboration des autorités internationales. Ces attaques, qui se sont intensifiées récemment, mettent en lumière la nécessité cruciale de renforcer la sécurité informatique des entreprises suisses pour éviter de devenir des cibles faciles.
Tactiques et impacts des attaques du groupe AKIRA
Le groupe AKIRA utilise une méthode connue sous le nom de double extorsion pour piéger ses victimes. Cette technique consiste à voler d’abord les données de l’entreprise avant de les chiffrer, rendant l’accès impossible sans paiement de rançon. Si la rançon n’est pas payée, ces données sont publiées sur un blog du darknet appelé DLS (Data Leak Site). Les paiements sont généralement exigés en cryptomonnaie, notamment en Bitcoin, ce qui complique la traçabilité des transactions. Ces attaques ont atteint un rythme inquiétant de quatre à cinq incidents par semaine en Suisse, un chiffre sans précédent selon les autorités. Les entreprises touchées voient leurs opérations considérablement perturbées, et la menace de publication de données sensibles sur le darknet accroît la pression pour payer les rançons. Selon le site officiel de l’OFCS, le groupe a exploité des failles dans les systèmes de sécurité des entreprises, souvent dues à des mises à jour non effectuées ou à une authentification insuffisante sur les accès à distance.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les autorités suisses exhortent les entreprises à signaler toutes les tentatives d’extorsion pour augmenter les pistes d’enquête et optimiser les chances de neutraliser les cybercriminels. Cependant, de nombreux cas restent non signalés, car les victimes craignent pour leur réputation et préfèrent payer les rançons en secret. Cette réticence à coopérer freine les efforts des autorités pour démanteler le réseau AKIRA. Le MPC, en collaboration avec fedpol et l’OFCS, insiste sur l’importance de ne pas céder aux demandes de rançon, car cela ne fait que financer davantage les activités illégales du groupe. Les autorités recommandent de consulter les experts avant de prendre toute décision suite à une attaque, comme le rapporte le communiqué de presse officiel.
Pour se protéger contre de telles attaques, il est essentiel de renforcer les systèmes de sécurité des entreprises. Les autorités suggèrent de mettre à jour régulièrement les systèmes, d’utiliser une authentification à deux facteurs pour les accès à distance comme les VPN et le RDP, et de sécuriser les sauvegardes de données. En cas d’incident, il est crucial de bloquer toutes les connexions Internet, de vérifier et de sécuriser les sauvegardes, et de déconnecter physiquement les systèmes infectés du réseau. Le but principal est d’identifier la source de l’infection pour prévenir toute future attaque. Les autorités encouragent également à déposer une plainte pénale dans tous les cas, afin de contribuer à l’effort collectif de lutte contre ces criminels. Ces recommandations visent à minimiser les risques et à renforcer la résilience des entreprises face aux menaces croissantes des rançongiciels.
Pour en savoir plus sur AKIRA
Qui est AKIRA
Le groupe AKIRA est une opération de ransomware-as-a-service (RaaS) apparue en mars 2023.
Il cible des organisations dans de nombreux secteurs (éducation, santé, manufacturing, IT services) et dans plusieurs zones géographiques : Amérique du Nord, Europe, Australie.
Plusieurs analystes observent un lien technique ou financier avec l’ancien groupe Conti (qui s’était dissous en 2022) : partages de portefeuilles Bitcoin, similitudes de code.
Méthodes & particularités
- Modèle RaaS : AKIRA fournit l’infrastructure (maliciel, portail de négociation, data leak site) à des affiliés qui mènent les intrusions.
- Double extorsion : l’attaquant exfiltre des données, puis chiffre les systèmes ; la rançon couvre à la fois la décryption et la non-publication des données volées.
- Cibles larges : Contrairement aux seules grandes entreprises, AKIRA attaque également des moyennes organisations (SMB), souvent avec des défenses faibles (VPN exposés, MFA non activé).
- Technique d’intrusion : exploitation de vulnérabilités de VPN/pare-feu ou usage de comptes d’accès volés. Exemple : une vulnérabilité dans le VPN/pare-feu (CVE-2023-20269) exploitée par AKIRA. Une fois dans le réseau : reconnaissance, mouvement latéral, suppression de shadow copies, arrêt de protections.
- Variants multiplateformes : Le maliciel AKIRA existe pour Windows et pour Linux/VMware ESXi (impact sur environnement virtualisé).
- Branding & leak site : AKIRA utilise un site .onion pour la publication des victimes, affichant un « look » rétro type terminal vert des années 80.
Histoire & données clés
- Emergence : mars 2023.
- Estimations publiques : plus de 250 organisations attaquées et environ 42 M USD de rançons encaissées entre mars 2023 et avril 2024.
- Le groupe ne revendique pas d’allégeance politique ou géopolitique ; son unique objectif affiché est le profit.
Particularités à retenir pour les professionnels
- Une infrastructure de négociation professionnelle : AKIRA utilise un portail de chat privatisé pour négocier avec les victimes.
- Le recours à des vulnérabilités externes (VPN, pare-feu) et des comptes compromis rend les défenses externes faibles particulièrement vulnérables.
- Le modèle RaaS multiplie les « commodités criminelles » : des affiliés moins experts peuvent lancer des attaques soutenues.
- L’extension vers Linux/ESXi signifie que les environnements virtualisés (souvent perçus comme « mieux protégés ») sont aussi visés.
- La double extorsion pose un enjeu complémentaire : même si le chiffrement est stoppé, les données volées peuvent être publiées.
Ransomware Akira : Tendances des attaques et défense | Qualys
Le rançongiciel Akira évolue rapidement. Découvrez son fonctionnement, ses cibles et comment vous en protéger grâce à des stratégies de sécurité avancées.
#StopRansomware : Akira Ransomware | LPCC
Depuis mars 2023, le rançongiciel Akira a touché un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Europe et en Australie. En avril 2023, après s’être d’abord concentré sur les systèmes Windows, les cybercriminels ont déployé une variante Linux ciblant les machines virtuelles VMware ESXi. Au 1er janvier 2024, le groupe de rançongiciels avait touché plus de 250 organisations et réclamé environ 42 millions de dollars américains de rançongiciels.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
