Les ransomwares sont l'une des plus grandes menaces auxquelles sont confrontées les entreprises. Cela a également été confirmé par le BSI dans son rapport sur la situation de la sécurité informatique en Allemagne en 2022.
L'un des groupes de rançongiciels les plus célèbres et notoires était Conti. Cette organisation criminelle a constitué la base d'autres acteurs de la menace qui se sont séparés du groupe des rançongiciels. L'un de ces groupes est le rançongiciel Akira.
Qu'est-ce qu'Akira ?
Akira est un groupe de ransomwares relativement nouveau et à croissance rapide, observé pour la première fois en mars 2023, qui utilise le modèle de ransomware-as-a-service (RaaS). Les RaaS sont des services et des outils liés aux rançongiciels que même les cybercriminels relativement inexpérimentés peuvent utiliser pour obtenir de « bons » résultats. Semblable à d'autres groupes RaaS bien connus, Akira pénètre les systèmes informatiques des entreprises, exfiltre les données et chiffre les applications contre rançon.
Si le ransomware demandé n'est pas payé, le nom et les détails de la victime seront publiés sur la page de fuite d'Akira. Selon le site, l'organisation criminelle a compromis au moins 63 organisations depuis sa création, environ 80 % des entreprises victimes étant des petites et moyennes entreprises (PME). Tout cela rappelle étrangement le célèbre groupe de rançongiciels Conti. Par exemple, Akira ignore les mêmes types de fichiers et répertoires que Conti Ransomware et possède des fonctionnalités similaires. De plus, la "nouvelle" étoile dans le ciel de la cybercriminalité utilise également l'algorithme ChaCha pour chiffrer les fichiers.
L'analyse de la blockchain découvre les flux de trésorerie
"En suivant les transactions découvertes lors de l'analyse de la blockchain, nous pouvons associer des groupes individuels avec une plus grande confiance en fonction des transactions vers et depuis des adresses de crypto-monnaie connues contrôlées par des acteurs malveillants", a déclaré Daniel Thanos, responsable d'Arctic Wolf Labs. «Le suivi des paiements de rançon à Akira a permis à Arctic Wolf Labs d'identifier les transactions vers les adresses associées à Conti.
La même méthodologie analytique a permis à notre équipe d'identifier des liens entre le groupe de rançongiciels Karakurt, Diavol et le groupe de rançongiciels Conti en 2022. » Thanos explique également : « Nous estimons qu'Akira est probablement un groupe de rançongiciels opportuniste compte tenu de sa victimologie et de ses tactiques de négociation. Dans presque tous les cas sur lesquels Arctic Wolf a enquêté, les acteurs de la menace ont indiqué qu'ils avaient besoin de temps pour examiner les données exfiltrées et émettre une demande de rançon.
défense et protection
Mais comment les entreprises peuvent-elles se protéger au mieux contre les attaques du groupe de rançongiciels Akira, qu'il soit de mèche avec Conti ou non ? Tout d'abord, en cas d'attaque par ransomware, il est important d'agir avec prudence et d'informer immédiatement les autorités compétentes. De plus, la situation doit être analysée, puis les contre-mesures nécessaires doivent être prises. Si des ressources internes adéquates font défaut dans une situation aussi exceptionnelle, les entreprises peuvent compter sur l'aide professionnelle de prestataires de services de sécurité externes tels que Arctic Wolf, qui disposent des compétences, de la main-d'œuvre et des outils appropriés pour réagir de manière appropriée et minimiser les dommages autant que possible. possible.
En 2023, bien que Conti se soit dissoute en raison de la pression croissante, des conflits internes et de la publication du code source, de nombreux membres de Conti continuent de faire des ravages dans les entreprises grâce à leurs activités avec d'autres groupes RaaS, dont Akira. Akira continue d'évoluer et de se développer en tant que groupe de rançongiciels en modifiant ses tactiques pour échapper à la détection. Des processus de sécurité éprouvés, tels que l'activation de la MFA sur les appliances VPN, peuvent réduire considérablement la probabilité d'une compromission réussie d'Akira, tout comme les correctifs et mises à jour système réguliers dans le cadre d'une stratégie de cybersécurité complète.
Plus sur ArcticWolf.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.
Articles liés au sujet