Akira est resté plutôt discret au premier semestre 2024. Mais les criminels n’ont pas chômé l’année dernière. Vers la fin de l’année, on en a de nouveau parlé. Ils exploitaient des vulnérabilités du jour zéro et seraient liés à des groupes chinois Advanced Persistent Threat (APT).
Depuis l’incident du ransomware chez un fournisseur de services informatiques allemand qui a touché plus de 70 communes en 2023, les choses sont restées calmes concernant les logiciels malveillants. Ce n’est qu’au début de l’année que l’Université technique de Berlin (BHT) a rendu public son incident de ransomware. Ici aussi, c'est Akira qui chiffrait certains serveurs lorsqu'un compte était compromis, mais sans pouvoir accéder aux données sensibles. À la mi-novembre, le groupe a publié sur sa page de fuite qu'il aurait volé des données du groupe Hager, qui s'est alors révélé être la société Uniola.
Akira exploite les vulnérabilités du jour zéro
Les acteurs de la menace ne sont donc pas restés inactifs. Ils ont exploité les dernières vulnérabilités Zero Day, notamment Veeam Backup & Replication (VBR) (CVE-2024-40711), qui permet l'exécution de code à distance non autorisé sur des ordinateurs vulnérables. Talos Intelligence a rapporté en octobre que les opérateurs d'Akira exploitaient de manière agressive les vulnérabilités récemment révélées pour accéder aux réseaux. Par exemple, ils ont attaqué SonicWall SonicOS (CVE-2024-40766) et Cisco Security Appliances (CVE-2020-3259, CVE-2023-20263). Ils ont également mis en œuvre l'approche Bring Your Own Vulnerable Driver (BYOVD), qui utilise le pilote antimalware de Zemana pour tuer les processus liés aux antimalware.
Akira a également étendu ses capacités avec des outils tels que EV Killer et EDR Killer, qui contournent les systèmes de détection et de réponse des points finaux (EDR) et contribuent à une augmentation du nombre de victimes dans le monde. En novembre 2024, le ransomware Akira a ajouté plus de 30 nouvelles victimes sur son site de fuite de données en une seule journée – le plus grand nombre depuis le début de ses activités. De plus, Akira a évolué pour attaquer les systèmes Linux et les machines virtuelles VMware ESXi via un dérivé basé sur Rust appelé « Akira v2 », montrant que le ransomware s'engage à améliorer et à étendre ses capacités d'attaque.
Collaboration avec d'autres groupes ou acteurs de l'État-nation
Il existe des preuves que le ransomware Akira pourrait être lié à des acteurs étatiques, en particulier à des groupes chinois Advanced Persistent Threat (APT). Les signes historiques d’attaques ainsi que l’utilisation de l’infrastructure Alibaba Cloud indiquent un probable soutien de l’État. De plus, les opérateurs ont des liens avérés avec d’autres groupes de ransomwares. Par exemple, ils ont été liés à l’organisation de ransomware Conti, et certains signes indiquent qu’ils pourraient travailler avec d’autres groupes de ransomware tels que Snatch et BlackByte. Cependant, il n’existe aucune preuve concrète, seulement quelques soupçons selon lesquels ils seraient liés à des acteurs nationaux ou à des organisations malveillantes.
Conclusion : Akira est en constante évolution
Le ransomware Akira semble utiliser une stratégie Ransomware-as-a-Service (RaaS), en collaboration avec divers partenaires et indépendants. Ces partenaires sont responsables des différentes phases de l'attaque, depuis l'accès initial jusqu'au déploiement du ransomware et à l'exfiltration des données. Les opérateurs d'Akira reçoivent souvent un accès au réseau auprès de courtiers de premier accès. Ces courtiers donnent accès à des réseaux infiltrés que les opérateurs de ransomwares utilisent ensuite pour distribuer leurs logiciels. Ces changements montrent que les opérateurs et le ransomware Akira lui-même évoluent constamment, adoptant de nouvelles stratégies et élargissant leur portée.
Plus sur Logpoint.comÀ propos de Logpoint Logpoint protège la société dans un monde numérique en aidant les clients et les fournisseurs de services de sécurité gérés (MSSP) à détecter les cyberattaques. En combinant une technologie fiable avec une compréhension approfondie des défis de cybersécurité, Logpoint simplifie les opérations de sécurité et donne aux entreprises la liberté d'évoluer. Les technologies SIEM et NDR de Logpoint améliorent la visibilité et fournissent une approche à plusieurs niveaux de la cybersécurité, aidant ainsi les clients et les MSSP en Europe à naviguer dans le paysage complexe des menaces.