Depuis mars 2023, le ransomware Akira s'est déployé en Amérique du Nord, en Europe et en Australie au sein d'un vaste éventail d'entreprises et d'entités d'infrastructures sensibles.
Si d'emblée, Akira fait écho au célèbre manga du non moins célèbre Katsuhiro Ōtomo, il fait surtout trembler le FBI, la CISA, le Centre européen de lutte contre la cybercriminalité (EC3), Europol et le Centre national de cybersécurité des Pays-Bas (NCSC-NL).
Et pour cause, Akira est également le petit nom du gang du ransomware qui a réussi, en un an, à extorquer 42 millions de dollars à quelque 250 organisations à travers le monde. Dans un avis conjoint publié ce 18 avril 2024, les autorités américaines et européennes indiquent d'ailleurs qu'Akira continue d'avoir un impact sur « un large éventail d'entreprises et d'infrastructures critiques en Amérique du Nord, en Europe et en Australie ».
L'ascension fulgurante d'Akira
Le gang Akira a rapidement gagné en notoriété dans le monde de la cybercriminalité. Son succès repose sur une stratégie bien rodée : l'utilisation de ransomwares, qui ont rapporté, rappelons-le, plus de 1 milliard (oui, oui) de dollars en 2023, sur des systèmes Windows et Linux. Cela lui permet de s'attaquer à un large éventail d'organisations. L'approche du groupe est brutale mais efficace. Il désactive les mesures de sécurité pour se frayer un chemin à travers les réseaux et exfiltrer des données précieuses. Les paiements de rançon, exigés en Bitcoin, ajoutent une couche d'anonymat à ses opérations. Mais ce n'est pas tout : le gang exerce une pression supplémentaire en menaçant de publier les données volées sur le réseau Tor, voire de contacter directement les entreprises victimes.
Les experts en cybersécurité sont particulièrement préoccupés par la rapidité avec laquelle Akira a mené un grand nombre d'attaques peu après son apparition. Cette efficacité laisse supposer que le groupe est composé d'acteurs expérimentés dans le domaine des ransomwares. En effet, le gang a revendiqué une série d'incidents en 2024, ciblant des entités de renom telles que l'université de Stanford et le fournisseur de services d'hébergement cloud Tietoevry. Sa capacité à s'attaquer à des cibles aussi diverses que des chemins de fer, des gouvernements locaux et des institutions financières démontre sa polyvalence et sa dangerosité.
Les liens cachés d'Akira
L'analyse des transactions de cryptomonnaie par Arctic Wolf, société spécialisée en cybersécurité, a révélé des informations troublantes. Akira semble avoir des liens avec le désormais disparu gang de ransomwares Conti, qui a longtemps sévi. Dans au moins trois transactions distinctes, les rançons collectées par Akira ont été transférées à des adresses affiliées à Conti, suggérant donc une collaboration ou une affiliation entre ces deux entités malveillantes. Deux des portefeuilles associés à Conti étaient liés à son équipe de direction, indiquant que les paiements provenaient de plusieurs familles de ransomwares.
Les autorités ont également publié sur le compte X.com de la CISA des conseils de protection aux organisations sensibles qu'Akira pourrait attaquer. Elles craignent que des groupes disparus puissent renaître sous de nouvelles formes ou soutenir d'autres groupes en activité. En témoigne la publication d'un décrypteur en juillet, censée représenter un coup dur pour Akira, mais le groupe a rapidement comblé les failles de son code et a poursuivi sans relâche ses attaques. Il va falloir compter sur ce nouveau cyberpirate de taille.
Grandes organisations comme particuliers, le principe du ransomware est invariable : extorquer de l'argent aux victimes sous peine de dévoiler ou de vendre des données sensibles. Clubic vous recommande donc la plus grande prudence quant à vos données personnelles et vous conseille des outils pour protéger votre vie privée.
Sources : Bleeping Computer, CISA