La menace du ransomware Akira : un guide indispensable
Le ransomware Akira est rapidement devenu l’une des cybermenaces les plus déstabilisantes de ces dernières années, ciblant des organisations issues de nombreux secteurs d’activité. Selon une étude menée par la CISA, entre mars 2023 et janvier 2024, le groupe à l’origine du ransomware Akira a attaqué plus de 250 organisations, exigeant au total 42 millions de dollars de rançon.
Les entreprises de toutes tailles doivent comprendre le mode de fonctionnement de ce ransomware afin de renforcer leurs défenses et de minimiser les risques. Lisez cet article pour en savoir plus sur la menace que représente le ransomware Akira, son cycle de vie et les stratégies pratiques permettant de se défendre contre de futures attaques.
Comprendre la menace du ransomware Akira
Le ransomware Akira est un type de ransomware dangereux qui utilise un modèle de double extorsion. Il vole des données sensibles avant de les chiffrer et menace de les divulguer si la rançon n’est pas payée. Ce ransomware est apparu en mars 2023 et utilise le modèle de distribution via le Ransomware en tant que service
Le nombre d’entités qui auraient été victimes de cette attaque est en augmentation, et contient des organisations de renom dans différents pays (notamment en Amérique du Nord, en Europe et en Australie). La liste des victimes du ransomware Akira contient également des entreprises opérant dans divers secteurs (éducation, finance, industrie, immobilier, droit, santé, infrastructures critiques et services municipaux/gouvernementaux).
Les campagnes typiques du ransomware moderne Akira sont très ciblées, techniquement sophistiquées et motivées par des intérêts financiers. Ces facteurs combinent une infiltration furtive à un impact dévastateur sur les activités des entreprises.
Outre les machines Windows, Akira se concentre intensivement sur les attaques contre les hôtes ESXi afin de perturber le fonctionnement des machines virtuelles et de les détruire par le chiffrement de leurs données. Cette stratégie rend le ransomware extrêmement dévastateur et paralyse toute organisation utilisant une infrastructure virtuelle pour ses opérations commerciales. Environ 50 % des attaques en 2024 ont ciblé VMware ESXi en exploitant plusieurs vulnérabilités.
À l’origine, Akira a été développé en C++, en particulier la version Windows ; IBM X-Force a découvert un échantillon compilé en C++ en décembre 2023. La version Akira_v2 est écrite en Rust, ce qui améliore ses fonctionnalités et sa résistance à l’analyse. Il existe des variantes pour Windows et Linux, adaptées à leurs plateformes respectives (CryptoAPI vs Crypto++).
Cycle de vie d’une attaque par le ransomware Akira : étape par étape
Pour vous protéger contre les attaques du ransomware Akira, vous devez comprendre comment ce ransomware fonctionne aux différentes étapes d’une cyberattaque. Cela vous permet de mettre en place des mesures préventives pour la protection des données.
Étape 1 – Accès initial via des points d’entrée à distance
Les auteurs du ransomware Akira obtiennent souvent un accès initial via des points d’entrée à distance en exploitant des services exposés ou mal sécurisés. Cette stratégie leur permet d’accéder au Réseau cible sans y avoir physiquement accès.
Exploitation de services VPN et RDP vulnérables
Les attaquants accèdent souvent au réseau d’une victime en exploitant des vulnérabilités « zero-day » et non corrigées dans des produits (passerelles) de réseau privé virtuel (VPN) courants et dans des logiciels d’accès à distance utilisant le protocole RDP (Remote Desktop Protocol).
Exemples de produits et de vulnérabilités utilisés par Akira :
- Cisco ASA / FTD — notamment CVE-2023-20269, une faille d’élévation de privilèges dans le processus d’authentification VPN.
- Appliances SonicWall Secure Mobile Access (SMA) — en particulier lorsqu’elles ne sont pas mises à jour ou ne disposent pas d’authentification multifactorielle (MFA).
- Vulnérabilités du VPN SSL Fortinet FortiGate — y compris d’anciennes failles comme CVE-2018-13379, toujours exploitées sur des appliances non mises à jour.
Les tactiques utilisées pour obtenir un accès non autorisé au réseau d’une victime comprennent les éléments suivants :
- Analyser Internet à la recherche d’appliances exécutant un micrologiciel obsolète.
- Exploiter la vulnérabilité pour contourner l’authentification ou exécuter du code.
- Utiliser des jetons de session volés ou des identifiants de connexion en clair stockés en mémoire. Les auteurs du ransomware Akira peuvent effectuer un mini-dump de la mémoire du processus LSASS (Local Security Authority Subsystem Service) afin de collecter des identifiants de connexion supplémentaires.
- Attaque par force brute directe contre des comptes peu sécurisés.
- Utilisation d’identifiants de connexion divulgués sur les marchés du dark web.
- Exploitation de failles de la passerelle RDP ou de services Bureau à distance Windows obsolètes.
Dans certains incidents, le groupe à l’origine du ransomware Akira a utilisé :
- AnyDesk, TeamViewer ou VNC avec des mots de passe faibles ou réutilisés.
- Des outils RMM (surveillance et gestion à distance) de prestataires de services gérés (MSP) ont été utilisés lorsque des comptes MSP ont été compromis.
- Des consoles d’administration basées sur le cloud (Microsoft 365, AWS) pour effectuer le déploiement de scripts au sein du réseau.
Remarque : Microsoft a mis en place authentification multifactorielle obligatoire afin de réduire ce risque pour les administrateurs de Microsoft 365.
Identifiants de connexion compromis
Les attaquants utilisent souvent des identifiants volés lors d’attaques précédentes. C’est pourquoi il est important d’utiliser des identifiants uniques et de respecter les bonnes pratiques de sécurité. Cette méthode permet aux auteurs du ransomware Akira d’accéder au réseau d’une victime sans exploiter de vulnérabilités. Ainsi, les attaquants apparaissent comme des utilisateurs légitimes lorsqu’ils accèdent au réseau, sans compromettre les autres mesures de sécurité.
Pour obtenir ces identifiants de connexion, les attaquants ont également recours à des tactiques traditionnelles, notamment :
- le phishing et adresses e-mail de spear-phishing qui permettent de récupérer les noms d’utilisateur et les mots de passe VPN.
- Les enregistreurs de frappe/vols d’informations (tels que RedLine Stealer) sur les appareils personnels des utilisateurs à distance.
Les failles sont exploitées :
- L’absence d’authentification multifactorielle (MFA) lors des connexions au VPN et à l’adresse e-mail.
- Des mots de passe faibles pouvant être piratés par force brute.
- Les attaques par fatigue MFA (demandes de connexion répétées jusqu’à ce que l’utilisateur accepte).
Les cybercriminels peuvent recourir à une attaque par force brute si aucun identifiant de connexion correspondant n’est trouvé. Ce type d’attaque cible généralement les services RDP et SSH, et peut aboutir si des mots de passe courants ou faibles sont utilisés.
Une chaîne d’accès à distance typique du ransomware Akira se présente comme suit :
Analyse d’Internet → Identification d’un service exposé → Exploitation d’un VPN ou vol d’identifiants de connexion → Authentification auprès du service distant → Déploiement d’outils de reconnaissance et de collecte d’identifiants de connexion → Mouvement latéral
Étape 2 – Persistance et élévation de privilèges
Une combinaison d’outils ADMIN légitimes, de erreurs de configuration et de scripts personnalisés permet au ransomware Akira de conserver un accès à long terme et d’opérer avec tous les droits système. La persistance consiste à rester présent dans l’environnement de la victime même après détection ou redémarrage. Une fois qu’ils ont accédé au réseau, les attaquants assurent leur persistance à l’aide de techniques qui rendent leurs actions indétectables, notamment la création de nouveaux comptes et l’élévation de privilèges.
Création de nouveaux comptes
Lorsqu’il infecte des systèmes Windows, le ransomware Akira ajoute des utilisateurs administrateurs Windows locaux ou des administrateurs de domaine pour garantir un accès continu. Parfois, il se dissimule sous des noms génériques ( admin , helpdesk ). Dans les environnements Active Directory, Akira crée des comptes cachés dotés de droits délégués. Si l’authentification multifactorielle (MFA) est activée, les attaquants peuvent parfois voler des jetons de session actifs ou des valeurs de cookies depuis les navigateurs afin de contourner la réauthentification.
Configuration des tâches planifiées et des services
Le ransomware Akira crée des tâches planifiées qui exécutent des scripts malveillants ou des shells inversés au démarrage. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.
Installing remote access tools
Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
and
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
These techniques ensure payloads reload on reboot.
After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.
Privilege escalation
Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.
Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.
Step 3 – Lateral movement and reconnaissance
Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.
Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. L’étape suivante consiste à étendre l’accès à l’ensemble du réseau avant de mettre en œuvre le chiffrement. Ainsi, avant de se déplacer latéralement, Akira doit savoir ce qui existe sur le réseau et où se trouvent les cibles de valeur.
L’analyse du réseau constitue la première étape de la reconnaissance. Le mappage réseau active le chiffrement du réseau. Des outils intégrés tels que ping , arp -a , et netstat sont utilisés pour détecter les hôtes actifs. D’autres scanners, tels que Advanced IP Scanner ou nmap , permettent de cartographier les sous-réseaux. Des scripts PowerShell interrogent Active Directory pour obtenir la structure du domaine, les appartenances à des groupes, la hiérarchie des unités d’organisation (OU) et l’emplacement des comptes administrateurs.
Suivant, le ransomware Akira identifie les ressources critiques. Les cibles sont les serveurs de fichiers, les contrôleurs de domaine, les appliances NAS et les serveurs de bases de données. Il recherche une infrastructure de sauvegarde afin de la désactiver ou de la chiffrer ultérieurement, et recherche les lecteurs partagés ainsi que les dossiers de synchronisation dans le cloud.
Akira permet d’accéder à distance aux services même s’ils sont désactivés :
- RDP (Remote Desktop Protocol) — souvent après l’avoir activé via GPO (objets de stratégie de groupe) s’il est désactivé.
- PME (Server Message Block) — pour copier des outils et des charges utiles d’un hôte à l’autre.
- WMI (Windows Management Instrumentation) — pour exécuter des commandes à distance sans générer de journaux RDP.
Akira utilise des hachages NTLM ou des tickets Kerberos volés pour s’authentifier sur d’autres systèmes sans connaître le mot de passe. L’extraction des identifiants de connexion permet de désactiver les agents antivirus/EDR grâce aux droits d’administrateur volés.
Ce ransomware utilise des outils légitimes tels que :
- PsExec (de Sysinternals) pour exécuter des commandes sur des systèmes distants.
- PowerShell Remoting pour exécuter des charges utiles sans les enregistrer sur le disque.
- Net use pour monter des partages distants et exfiltrer des fichiers.
Akira peut utiliser les outils RMM des MSP (ConnectWise, AnyDesk, etc.) déjà déployés dans l’environnement pour se propager vers d’autres machines sans déclencher d’alertes. Les fournisseurs de services gérés doivent faire preuve de prudence et résoudre Les défis liés à la cybersécurité des MSP afin de protéger leurs propres données ainsi que celles de leurs clients.
Les outils et charges utiles du ransomware sont copiés sur d’autres machines afin de préparer la prochaine étape de l’attaque.
La reconnaissance et les mouvements latéraux permettent au ransomware de maximiser l’impact du chiffrement en ciblant simultanément le plus grand nombre possible de machines. Il peut ainsi accéder à des données sensibles à des fins de double extorsion (vol de données + chiffrement) et détruire les sauvegardes afin de contraindre les victimes à payer la rançon.
Étape 4 – Exfiltration des données
Le ransomware Akira commence souvent par collecter et compresser les données sensibles afin d’en faciliter le transfert et de les dissimuler. Parmi les outils couramment utilisés, on trouve WinRAR pour compresser les fichiers en archives (format RAR). Les attaquants peuvent également utiliser FileZilla , WinSCP et rclone pour regrouper et transférer les données volées. Ces outils sont légitimes (fiables et figurant sur la liste blanche) et ne suscitent pas de soupçons, contrairement à certains outils spécifiques développés par les attaquants eux-mêmes. Dans certaines attaques, les données ont été directement téléchargées vers des espaces de partage cloud MEGA configurés par les attaquants.
Des archives WinRAR ont été exfiltrées à l’aide d’un navigateur web Chrome ( Chrome.exe ), envoyant des fichiers compressés vers des plages d’adresses IP externes, ce qui ressemblait à du trafic légitime. Akira exfiltre les données à l’aide de différents outils afin de rendre ce processus rapide et efficace. Lors d’une des attaques du ransomware Akira, les attaquants ont compressé 34 Go de données avec WinRAR et les ont envoyées vers une ressource externe. Après avoir accédé au réseau de l’organisation, il leur a fallu environ deux heures pour mener à bien l’attaque.
Étape 5 – Chiffrement et perturbation des opérations
Akira utilise un modèle de chiffrement hybride. Ce ransomware chiffre d’abord les données à l’aide d’un algorithme symétrique rapide (ChaCha20 ou KCipher-2), puis sécurise la clé symétrique à l’aide d’une clé publique RSA codée en dur, généralement RSA-4096. Chaque fichier affecté se voit ajouter la clé symétrique à la fin et est chiffré à l’aide de la clé RSA intégrée. Akira peut chiffrer partiellement les fichiers par blocs plutôt que dans leur intégralité afin d’accélérer le chiffrement tout en maximisant les dégâts. Par exemple, les petits fichiers (< 2 Mo) peuvent n’être chiffrés qu’à 50 %, tandis que les plus volumineux sont divisés en plusieurs blocs compressés pour un chiffrement sélectif.
Les fichiers chiffrés reçoivent l’extension « . akira » (et d’autres telles que . powerranges ou . akiranew dans les variantes plus récentes). Le ransomware exclut délibérément les fichiers et répertoires critiques pour le système, tels que . exe , . dll , les dossiers système, la Corbeille et les dossiers Windows , afin de maintenir la stabilité du système jusqu’à la fin de l’opération.
Akira provoque des perturbations en supprimant tous les clichés instantanés de volume Windows à l’aide de PowerShell (ou WMI), ce qui empêche de fait les victimes de faire un retour en arrière. Le ransomware Akira se montre particulièrement agressif à l’encontre des VMware ESXi hyperviseurs. Il est capable de chiffrer des hôtes entiers afin de perturber plusieurs VMs en une seule attaque, de désactiver les services de sécurité, d’arrêter les VMs et d’altérer les identifiants de connexion ESXi pour bloquer l’accès aux administrateurs.
Une fois le chiffrement terminé, le ransomware Akira laisse des notes de rançon dans chaque répertoire affecté, généralement nommées akira_readme.txt ou fn.txt . Ces fichiers contiennent un code unique attribué à la victime et un lien de négociation via le réseau TOR, menaçant de divulguer les données et exigeant une rançon en bitcoins.
Attaque des hôtes ESXi
Si les systèmes Windows constituent les cibles principales pour lancer l’attaque et la propager sur le réseau afin d’infecter d’autres machines, les hôtes ESXi sont également des cibles courantes. Voyons comment le ransomware Akira attaque les hôtes ESXi.
- Après avoir accédé au réseau, les attaquants repèrent les hôtes ESXi connectés à vCenter ou directement accessibles via SSH.
- Le ransomware Akira peut exploiter les versions vulnérables de vCenter/ESXi. En l’absence de correctifs, des failles connues telles que CVE-2021-21972, CVE-2021-21985 et CVE-2020-3992 peuvent être exploitées.
- Une fois que les attaquants ont accédé à ESXi via SSH (généralement activé sur les hôtes à des fins d’administration), ils téléchargent et exécutent le programme de chiffrement Akira Linux ELF directement sur l’hôte. Le ransomware désactive les services de sécurité d’ESXi.
- Il monte les volumes de datastore sur un autre système ou utilise des outils intégrés ( vmkfstools , scp ) pour copier les fichiers . vmdk et . vmx afin de voler les données des machines virtuelles.
- Une fois les données volées, Akira arrête les VMs à l’aide de :
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.off
et chiffre les fichiers sur les magasins de données à l’aide du programme de chiffrement, comme sous Linux.
Comment détecter et se défendre contre le ransomware Akira
Les stratégies de détection constituent des mesures préventives essentielles qui nécessitent une approche complexe et doivent inclure plusieurs actions.
- Surveillance du comportement des terminaux et du réseau. Utilisez des systèmes EDR/XDR (Endpoint Detection and Response/Extended Detection and Response) pour détecter les comportements suspects (désactivation des outils de sécurité, suppression des clichés instantanés, mouvements latéraux inhabituels, vidages LSASS, etc.). Surveillez également toute utilisation anormale d’outils de compression de fichiers.
- Recherchez les outils de gestion à distance (AnyDesk, RustDesk, Radmin), les utilitaires de tunneling (Ngrok, Cloudflare Tunnel) ou les techniques de vol d’identifiants de connexion (Mimikatz, LaZagne). Si ni vous ni vos collègues ne les avez installés, cela peut être un signe précoce d’une attaque par ransomware.
- Surveillez le déploiement de pilotes signés de manière suspecte, tels que rwdrv.sys (ThrottleStop), qu’Akira utilise pour charger des pilotes malveillants ( hlpdrv.sys ) et désactiver les logiciels de protection contre les logiciels malveillants. Akira peut exploiter ces pilotes signés ; ces attaques sont appelées attaques BYOVD (Bring Your Own Vulnerable Driver, « Apportez votre propre pilote vulnérable »).
- Surveillez les arrêts massifs de machines virtuelles. Les ransomwares peuvent les arrêter pour commencer à copier et à effectuer le chiffrement de fichiers.
- Surveillez toute activité inhabituelle sur les fichiers et les fichiers renommés avec les extensions . akira , . akiranew ou des extensions apparentées.
- Configurez des alertes relatives aux comptes et aux accès. Signalez les comptes « fantômes » nouveaux ou redécouverts créés par des attaquants, en particulier s’ils sont masqués sur les écrans de connexion.
- Détectez les anomalies dans les accès VPN/RDP, telles que les connexions inhabituelles, les tentatives d’authentification infructueuses ou les accès provenant de localisations géographiques inhabituelles.
Parallèlement aux mesures de détection, vous devriez mettre en œuvre des stratégies de défense contre le ransomware Akira.
- Configurez l’authentification multifactorielle pour accéder au VPN, au RDP, aux outils d’administration web, aux adresses e-mail, etc. Utilisez des mots de passe forts et une politique de sécurité rigoureuse. Définissez le nombre de tentatives de mot de passe incorrectes autorisées.
- Limitez les accès VPN/RDP externes ; utilisez le géorepérage et supprimez régulièrement les identifiants de connexion et comptes inactifs. Configurez des pare-feu et filtrez le trafic réseau. Désactivez les ports inutilisés.
- Appliquez régulièrement les correctifs aux appliances VPN et aux systèmes, en particulier ceux connus pour être des cibles d’Akira.
- Mettez en œuvre la segmentation du réseau et envisagez une sécurité « zero-trust ». Segmentez les réseaux pour limiter les mouvements latéraux du ransomware et empêcher sa propagation. Appliquez le principe du moindre privilège dans la mesure du possible afin de n’accorder l’accès qu’aux tâches nécessaires.
- Installez un antivirus (AV) associé à un logiciel EDR/XDR pour protéger les ordinateurs du réseau. Appliquez une liste blanche des pilotes pour empêcher l’exécution de pilotes signés vulnérables. Ajoutez des protections telles que la « Moving Target Defense » (défense par cible mobile) qui bloquent le « credential dumping », les outils de propagation latérale et les ransomwares grâce à une modification du comportement du système.
Mettez en œuvre une stratégie de sauvegarde fiable indispensable à la stratégie globale de protection des données.
- Configurez des sauvegardes régulières . Assurez-vous que les sauvegardes sont crypté, immuable et testées régulièrement pour vérifier leur capacité de récupération des données.
- Suivez les recommandations de la Règle de sauvegarde « 3-2-1 » . Disposez d’au moins 3 copies des données, dont 2 stockées sur des supports différents et 1 hors site. Vous devriez également disposer d’une sauvegarde hors ligne, isolée physiquement (air-gapped), à laquelle les ransomwares ne peuvent pas accéder.
- Organisez régulièrement des formations pour les utilisateurs : apprenez-leur à détecter les activités suspectes et à réagir en cas de comportement inhabituel. Les utilisateurs doivent immédiatement déconnecter l’ordinateur en cas d’activités suspectes ou de signes d’infection par un ransomware, puis signaler le problème à un administrateur système.
- Configurez Surveillance des infrastructures . Surveillez les journaux, les transferts de fichiers inhabituels, la création de comptes ADMIN et les comportements réseau suspects à l’aide d’un SIEM ou d’outils de surveillance tiers.
- Élaborez un plan d’intervention en cas de ransomware dans le cadre plus large des reprise après sinistre et plan de continuité des activités . Développez et testez un plan spécifique au ransomware plan d’intervention en cas d’incident, avec des rôles et des procédures clairs.
Ne payez pas de rançon en cas d’attaque par ransomware. Les autorités (FBI, CISA et autres) déconseillent de payer une rançon, car il n’y a aucune garantie que vous récupériez vos données. La récupération après une attaque par le ransomware Akira implique l’enlèvement du ransomware des ordinateurs infectés, voire la réinstallation de logiciels, la réalisation d’un audit de l’infrastructure, la correction de toutes les vulnérabilités possibles et la restauration des données à partir d’une sauvegarde.
Utilisez NAKIVO Backup & Replication pour la sauvegarde et la récupération des données. La solution NAKIVO prend en charge la sauvegarde des machines physiques, des machines virtuelles, des instances Amazon EC2, de Microsoft 365 et des bases de données Oracle (via RMAN). Grâce à un large éventail d’options de stockage de sauvegarde, vous pouvez mettre en œuvre une stratégie de sauvegarde fiable. Le chiffrement des données et l’immuabilité des sauvegardes protègent les données contre tout accès et toute modification non autorisés, vous permettant ainsi de réaliser la récupération de vos fichiers en cas de sinistre ou d’attaque par ransomware.
Conclusion
Le ransomware Akira reste une menace majeure pour la cybersécurité, utilisant des tactiques sophistiquées pour s’introduire dans les réseaux, chiffrer les données et extorquer de l’argent aux victimes. Il est essentiel de comprendre son cycle de vie et les méthodes de détection pour mettre en place des défenses solides et minimiser les dommages potentiels. Des sauvegardes fiables, des outils tels que NAKIVO Backup & Replication et une surveillance proactive peuvent réduire considérablement l’impact d’une attaque. En se tenant informées et en se préparant, les entreprises peuvent renforcer leur résilience face au ransomware Akira.