Déplier le sommaire Replier le sommaire
Les entreprises et infrastructures clés ciblées par le groupe de ransomware Akira
Le groupe de ransomware Akira a été identifié comme responsable d’une série d’attaques cybernétiques visant des entreprises et des entités d’infrastructures critiques en Amérique du Nord, en Europe et en Australie.
Une notification récente de l’Agence Fédérale d’Investigation (FBI) des États-Unis révèle que, depuis mars 2023, le groupe Akira a réussi à pénétrer les systèmes de plus de 250 organisations, accumulant ainsi jusqu’à 42 millions de dollars en paiements de rançons.
Alors que le groupe focalisait initialement ses attaques sur les systèmes Windows, leurs tactiques se sont récemment élargies pour inclure également les variantes Linux, soulevant ainsi davantage de préoccupations parmi les agences de cybersécurité à l’échelle mondiale.
Le FBI, en collaboration avec des acteurs clés tels que l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA), le Centre Européen de Lutte contre la Cybercriminalité d’Europol (EC3), et le Centre National de Cybersécurité des Pays-Bas (NCSC-NL), a publié un communiqué conjoint sur le ransomware Akira afin d’augmenter la sensibilisation et de diffuser des informations cruciales concernant la menace.
La Méthodologie Cachée du Groupe Ransomware Akira
Le FBI a révélé la stratégie employée par le groupe de ransomware Akira qui consiste en une approche multifacette pour infiltrer et compromettre les organisations ciblées. En exploitant des vulnérabilités dans les systèmes Cisco, particulièrement les CVE-2020-3259 et CVE-2023-20269, les acteurs d’Akira exploitent les faiblesses des réseaux privés virtuels (VPN) qui n’utilisent pas l’authentification à facteurs multiples (MFA), en plus d’autres vecteurs d’attaque tels que le protocole RDP et le hameçonnage.
Une fois à l’intérieur du réseau, les opérateurs d’Akira établissent leur persistance en créant de nouveaux comptes de domaine et en mettant en œuvre des techniques de post-exploitation comme le vol d’identifiants et l’utilisation d’outils tels que Mimikatz et LaZagne.
Cela leur permet d’augmenter leurs privilèges et de se déplacer dans le réseau sans être détectés, grâce à l’utilisation d’outils de reconnaissance tels que SoftPerfect et Advanced IP Scanner pour cartographier l’infrastructure.
Par ailleurs, l’acteur de menace a évolué au fil des ans et a commencé à utiliser plusieurs variantes de ransomware « contre différentes architectures de système au sein du même événement de compromission ». Cette approche marque une évolution par rapport aux processus précédemment rapportés concernant les partenaires affiliés d’Akira et leurs méthodes de piratage.
« Les acteurs de la menace Akira ont d’abord été observés déployant le ransomware spécifique à Windows « Megazord », avec une analyse ultérieure révélant qu’une seconde charge utile a été déployée simultanément dans cette attaque (qui a été identifiée plus tard comme une variante nouvelle de l’encrypteur Akira ESXi, « Akira_v2 ») », selon le FBI.
Fuite de Défense, Cryptage et Atténuation
En addition à l’amélioration de son arsenal offensif, le groupe de ransomware Akira dispose également de techniques avancées pour éviter la détection. Selon le FBI, le groupe déploie une variété de tactiques, incluant la désactivation de logiciels de sécurité et le déploiement simultané de plusieurs variantes de ransomware.
Le processus de cryptage du ransomware est sophistiqué, utilisant un schéma de cryptage hybride qui combine le chiffrement par flux ChaCha20 avec le système de cryptage à clé publique RSA, adapté aux types et tailles de fichiers. Les fichiers chiffrés sont marqués avec l’extension .akira ou .powerranges, et la note de rançon est placée de manière stratégique dans les répertoires.
Pour répondre à la menace représentée par le ransomware Akira, les autorités de cybersécurité telles que la CISA préconisent des mesures proactives pour atténuer les risques et renforcer la résilience organisationnelle. Les recommandations comprennent l’implémentation de l’authentification à facteurs multiples, la mise à jour régulière des correctifs logiciels, la segmentation des réseaux et l’utilisation d’outils robustes de détection et réponse sur les terminaux (EDR).
À lire Les méandres obscurs du web : une enquête sur la pornographie infantile
De plus, il est conseillé aux organisations de mener des audits réguliers des comptes utilisateurs, de désactiver les ports inutilisés et d’appliquer le principe de moindre privilège pour limiter l’accès non autorisé. Les stratégies de sauvegarde doivent inclure des sauvegardes chiffrées hors ligne, couvrant toute l’infrastructure de données, pour assurer une récupération rapide en cas d’attaque par ransomware.
Avertissement Média : Ce rapport se fonde sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement, et les utilisateurs assument l’entière responsabilité de leur dépendance à ces informations. Hackitude décline toute responsabilité quant à l’exactitude ou les conséquences de l’utilisation de ces informations.