FR
FR EN DE
Accueil | Le manuel du ransomware Akira 2025

The 2025 Akira Ransomware Playbook

Orlaith Traynor

8 min lire - 3 février 2025

Les rançons ne sont pas l'apanage des films. Akira est un groupe de pirates informatiques qui verrouille des fichiers vitaux et exige une rançon exorbitante pour les libérer. En 2025, il sera plus prolifique que jamais.

La bonne nouvelle, c'est que plus nous en savons sur le ransomware Akira, mieux nous sommes préparés. Alors, sans plus attendre, voyons qui est le groupe de pirates Akira, comment il opère et ce que nous pouvons tous faire pour y remédier.

1. Qu'est-ce qu'Akira ?

Akira est un gang de ransomware-as-a-service (RaaS) apparu en mars 2023.

N'importe qui peut utiliser le logiciel malveillant d'Akira pour voler et crypter des données sensibles, par exemple par hameçonnage, et ne les restituer qu'après avoir reçu une rançon, dont le montant peut aller de $200 000 à des millions.

Akira est l'un des meilleurs gangs de Raas, aux côtés de joueurs tels que LockBit et RansomHub.

Un récent analyse de la blockchain suggère qu'Akira provient du groupe de ransomware Conti, soutenu par la Russie, qui a été dissous en 2022. Akira se distingue par son style rétro (voir la capture d'écran ci-dessous) et une allusion potentielle à un projet de 1988 film d'animation.

Capture d'écran de la page d'hébergement web d'Akira. Source.

Le site d'Akira, basé sur Tor, s'inspire des consoles "écran vert" des années 1980 et se contrôle en tapant certaines commandes. Le site dispose de 5 options de commande différentes.

  • fuites - Les données des entreprises piratées qui n'ont pas payé la rançon
  • nouvelles - Les noms des nouvelles victimes, ou "données à venir".
  • contact - Détails sur la façon de prendre contact avec le groupe
  • aider - Informations sur le soutien
  • clair - La possibilité d'effacer l'écran

Selon le Semaine de la sécuritéLes attaques d'Akira ont tendance à se concentrer sur le secteur des entreprises, mais l'entreprise a également été active dans les domaines de la construction, des infrastructures critiques, de l'éducation, de l'industrie manufacturière, de la vente au détail et de la technologie.

En avril 2024, la CISA, le FBI, le Centre européen de lutte contre la cybercriminalité et le Centre national de cybersécurité des Pays-Bas ont publié un guide intitulé #StopRansomware : Akira RansomwareLe système d'information sur la sécurité (SIS), qui comprend des indicateurs de compromission (IOC), permet de savoir quand un système a été violé.

Extrait de l'avis commun de la CISA et d'autres organismes de réglementation de la cybersécurité. Source.

2. Le ransomware Akira en chiffres

Le groupe de pirates informatiques Akira a fait des vagues depuis ses débuts en 2023, et il ne montre aucun signe d'arrêt cette année.

Voici 6 points de vue sur la cyberattaque Akira.

  1. La France est une cible importante : Une étude réalisée l'année dernière a montré que la France représentait 53,1% d'attaques Akira détectées. L'Amérique du Nord est également une cible populaire.
  2. Les fuites d'Akira font entre 6 et 30 victimes par mois : Au fur et à mesure qu'elle s'établit, Akira augmente ses opérations, atteignant un niveau record avec 73 victimes pour le seul mois de novembre 2024.
  3. C'est un acteur important sur le marché des ransomwares : Certaines sources suggèrent qu'Akira est à l'origine de 21% des attaques de ransomware au premier trimestre 2024.
  4. Le logiciel malveillant Akira ne prend qu'environ 2 heures pour voler des données : On a découvert que le gang d'Akira peut courir "exfiltration de données à la vitesse de l'éclair"des serveurs Veeam.
  5. Elle a déjà fait des dizaines de millions de victimes : Akira a généré $42 millions en paiements de ransomware rien qu'entre mars 2023 et avril 2024, et ce chiffre est probablement beaucoup plus élevé aujourd'hui.
  6. Il s'agit de la plus grande menace de ransomware aux États-Unis : Au troisième trimestre 2024, Akira était le variante de ransomware la plus détectée aux États-Unis en termes de parts de marché.
Graphique montrant les variantes de ransomware les plus actives aux États-Unis, en fonction de la part de marché. Source.

3. Chronologie du ransomware Akira

Voici un aperçu de l'activité du groupe Akira.

  • 2017: Une autre variante de ransomware portant le même nom était active, utilisant les mêmes extensions de fichiers cryptés. Cependant, les groupes seraient complètement différents.
  • Mars 2023 : Le groupe actuel de ransomwares Akira est apparu, et l'on pense qu'il est affilié au gang dissous de Conti.
  • juin 2023 : Après s'être concentré sur Windows pendant quelques mois, Akira a déployé une variante visant à cibler les systèmes d'information suivants Serveurs Linuxégalement. Entre-temps, une société de cybersécurité a proposé une décrypteur gratuit pour aider les gens à récupérer leurs fichiers, sans payer de rançon.
  • août 2023 : Cisco a découvert que les acteurs de la menace Akira avaient ciblé des VPN qui n'étaient pas configurés avec une authentification multifactorielle (MFA).
  • septembre 2023 : Les services de santé américains ont publié un bulletin de sécurité des conseils sur la manière de lutter contre le danger croissant des fuites d'Akira.
  • avril 2024 : La CISA et d'autres instances dirigeantes publient un avis pour lutter contre Akira.
  • novembre 2024 : Les attaques d'Akira ont fait 73 victimes en un seul mois.
Fichiers cryptés avec l'extension .akira ajoutée au nom du fichier. Source.

Fichiers cryptés avec l'extension .akira ajoutée au nom du fichier.

4. Comment fonctionne une attaque par le ransomware Akira

Voici les étapes techniques d'un Akira attaque par ransomware, selon CISA.

  1. Accès initial : Akira exploite les vulnérabilités des VPN sans authentification multifactorielle (par exemple, Cisco CVE-2020-3259 et CVE-2023-20269). Parmi les autres méthodes, on peut citer le spear hameçonnage en abusant du protocole de bureau à distance (RDP) ou en utilisant des informations d'identification volées. Akira utilise également des outils comme Anydesk pour obtenir un accès à distance.
  2. Persévérance et découverte : Akira maintient l'accès et permet l'escalade des privilèges avec de faux comptes de domaine ou des comptes administratifs appelés itadm. Il vole également des informations d'identification à partir du Local Security Authority Subsystem Service (LSASS), ou à l'aide d'outils tels que Mimikatz et LaZagne, et identifie les périphériques réseau à l'aide d'outils tels que Advanced IP Scanner.
  3. Evasion de la défense : Pour éviter d'être détecté, Akira déploie plusieurs variantes de ransomware, telles que "Megazord" et "Akira_v2". Il désactive également les processus de sécurité avec des services tels que PowerTool, afin de permettre des mouvements latéraux.
  4. Exfiltration et impact : Akira utilise des outils et des algorithmes tels que FileZilla, RClone, WinSCP ou WinRAR pour déplacer les données volées vers des serveurs externes ou un stockage dans le nuage.
  5. Cryptage des données : Akira utilise une stratégie de chiffrement hybride pour sécuriser les données, sa dernière version ciblant spécifiquement les machines virtuelles. Il supprime également les copies d'ombre des volumes pour bloquer les efforts de récupération du système, avec son chiffreur (w.exe) à l'aide de commandes PowerShell.

Vous pouvez consulter la liste complète des tactiques ATT&CK de MITRE sur le site de la CISA. bulletin de sécurité.

Ci-dessus, un aperçu du processus Akira. Source.

Les caractéristiques d'une attaque Akira

Voici quelques-unes des tactiques, techniques et procédures (TTP) d'une attaque Akira au cours des derniers mois.

  • Utilisation d'un double modèle d'extorsion : Akira ne se contente pas de crypter les données, il les vole également, ce qui amplifie son impact.
  • Masquage du paiement de la rançon : Akira ne communique la demande de rançon ou les détails du paiement qu'une fois que la victime l'a contacté. La première demande de rançon s'intitule fn.txt.
  • Exiger des paiements en bitcoins : Les auteurs de la menace demandent aux victimes de payer en bitcoins à l'adresse de leur portefeuille de crypto-monnaies.
  • Exercer une pression : Si le paiement n'est pas reçu, Akira menace de publier les données volées sur son site de fuites. Les acteurs de la menace sont également connus pour appellent leurs victimes.
  • Diminution des rançons : Akira est connue pour baisser les demandes de rançon lorsque les entreprises n'ont pas besoin d'un décrypteur, ou lorsqu'elles veulent simplement éviter que leurs données soient publiées sur le site de la fuite.
  • Suppression des sauvegardes : Le centre national finlandais de cybersécurité (NCSC-FI) a averti qu'Akira est effacer les sauvegardes d'entraver les efforts de rétablissement du système.

5. Études de cas : Les victimes du ransomware Akira

Akira ransomware peut constituer une menace pour n'importe quelle organisation dans le monde. Voyons quelques exemples concrets d'Akira en action, lorsque vigilance numérique a échoué.

Lorsque l'université de Stanford a été prise pour cible...

En octobre 2023, le gang du ransomware Akira a affirmé avoir dérobé 430 Go de données à Université de Stanford. Un porte-parole de l'université a déclaré qu'elle enquêtait sur ces allégations.

L'incident de cybersécurité a eu lieu au sein du département de la sécurité publique, mais le personnel de l'université ne pense pas que la faille ait affecté une autre partie de l'organisation.

Lorsque plus de 35 victimes ont été dénoncées en un jour...

En novembre 2024, Akira a publié les détails de l'affaire 35+ victimes sur son site de fuite en une seule journée.

Les experts en cybercriminalité ont qualifié cette initiative d'agressive, peut-être parce que de nouveaux affiliés ont rejoint le réseau au même moment, ou parce que les acteurs de la menace ont choisi de ne pas divulguer les fuites précédentes.

D'autres ont simplement suggéré, "Cela pourrait dépendre de la façon dont ils [les administrateurs d'Akira] se sont réveillés ce matin.

Lorsqu'un fournisseur de services d'informatique en nuage est tombé en panne...

En janvier 2024, le fournisseur d'hébergement en nuage Tietoevry a subi une attaque de ransomware Akira dans l'un de ses centres de données en Suède.

Elle a touché plusieurs grands fournisseurs suédois, dont Primula, une société de gestion des salaires et des ressources humaines, une chaîne de cinémas appelée Filmstaden et une chaîne de magasins d'alimentation qui a dû rester fermée pendant une journée.

Lorsque Nissan s'est arrêté...

En Australie, une branche de Nissan a subi une attaque de ransomware de la part d'Akira en janvier 2023.

Le groupe de ransomware Akira a déclaré avoir extrait des informations sur des projets, des accords de non-divulgation, ainsi que des données sur des clients et des partenaires.

6. Se défendre contre le groupe de ransomwares Akira

Le virus Akira se propage, mais il existe de nombreux remèdes pour le tenir en échec. Voici comment protéger votre posture de cybersécurité.

Suivre la règle des 3-2-1

Aux États-Unis, les soins de santé Avis de sécurité contre Akira, il est recommandé aux organisations de l'avoir :

  • 3x copies des dossiers importants
  • 2x types de médias pour stocker ces fichiers
  • 1x copie hors ligne/hors site de ces fichiers

Ces sauvegardes peuvent empêcher Akira d'effacer toutes les données importantes, facilitant ainsi l'accès à l'information. protection des donnéeset de contribuer à la reprise et à l'atténuation des effets du système.

Ne pas payer

Les autorités de Singapour, ainsi que le FBI, la CISA et d'autres organisations ont conseillé aux victimes ne doit pas payer la rançon s'ils sont victimes d'une attaque d'Akira. Au contraire, l'attaque doit être immédiatement signalée aux forces de l'ordre.

Un porte-parole a déclaré, "Le paiement de la rançon ne garantit pas que les données seront décryptées ou que les acteurs de la menace ne publieront pas vos données.

"En outre, les acteurs de la menace peuvent considérer votre organisation comme une cible facile et frapper à nouveau à l'avenir. Cela peut également les encourager à poursuivre leurs activités criminelles et à cibler d'autres victimes".

Corriger les faiblesses

Investir dans un gestion de la surface d'attaque externe (EASM), tels que CybelAngelpour identifier les faiblesses de votre empreinte numérique. Cela vous permet de résoudre rapidement les problèmes avant que les acteurs de la menace d'Akira ne puissent en tirer parti.

Vous pouvez également utiliser ses fonctions de renseignement sur les menaces pour surveiller les conversations sur le web sombre et garder une longueur d'avance sur les cybercriminels.

CISA recommande également d'utiliser des outils de détection et de réponse (EDR) pour repérer toute activité inhabituelle sur votre réseau.

Activation de l'authentification multifactorielle (MFA)

L'AMF ajoute un niveau de sécurité supplémentaire en exigeant une deuxième forme de vérification, comme un code provenant d'une application d'authentification, une empreinte digitale ou un jeton matériel, en plus de votre mot de passe.

En mettant en œuvre l'AFM, même si quelqu'un vole votre mot de passe, il ne pourra pas accéder à votre compte sans l'étape de vérification supplémentaire.

Mise en œuvre de comptes basés sur le temps

Lorsque vous accordez des privilèges d'accès à vos employés et fournisseurs, vous pouvez suivre des modèles de travail tels que les suivants :

  • Juste à temps (JIT) : Ne donner accès aux systèmes qu'en cas de besoin, en soutenant le principe du "moindre privilège".
  • Modèle de confiance zéro : Désactiver automatiquement les comptes administrateurs au niveau de l'Active Directory, dès qu'ils n'en ont plus besoin.

Cela minimise le risque que les comptes des employés soient exploités par des acteurs menaçants.

Désactiver les autorisations (si possible)

La CISA suggère de désactiver les activités et les autorisations relatives à la ligne de commande et aux scripts. Cela empêche les acteurs de la menace d'utiliser les logiciels et les outils de l'entreprise pour prendre le contrôle d'une organisation.

Elle recommande également de désactiver les hyperliens dans tous les courriels reçus, afin que personne ne clique par inadvertance sur un lien malveillant.

Mise en place d'un plan de réponse aux incidents

Mettez en place un plan pour le cas où votre organisation serait victime d'une brèche dans Akira. Identifiez les membres de l'équipe et les rôles clés, et créez un processus étape par étape pour détecter, contenir et atténuer les incidents.

Testez et mettez régulièrement à jour le plan pour faire face aux nouvelles menaces, afin de vous assurer que votre équipe est prête à minimiser les dommages et à se rétablir rapidement.

À vous de jouer

Le groupe de ransomwares Akira reste une menace en 2025, mais avec les bonnes stratégies (telles que l'AMF) et les bons outils (tels que le CybelAngel), vous pouvez protéger votre organisation et les arrêter dans leur élan.

N'oubliez pas de mettre régulièrement à jour vos logiciels et d'investir dans la cybersécurité, et les organisations comme Akira auront beaucoup plus de mal à survivre à l'avenir.