Autrefois concentré sur les PME, Akira s’est tourné vers les grandes entreprises des secteurs de la fabrication, de l’informatique, de la santé et de la finance, en tirant parti d’attaques multiplateformes et de tactiques de double extorsion.
La Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le FBI et plusieurs partenaires internationaux, a publié un nouvel avis avertissant les organisations de la menace croissante que représente le groupe de ransomware Akira pour les infrastructures critiques.
La dernière mise à jour montre que le groupe de ransomwares a étendu ses capacités au-delà des environnements VMware ESXi et Hyper-V et cible désormais également les machines virtuelles Nutanix AHV.
Alors qu’Akira se concentrait initialement sur les petites et moyennes entreprises en Amérique du Nord, en Europe et en Australie, le groupe s’est par le passé de plus en plus tourné vers les grandes entreprises avec des incidents récents infectant des organisations des secteurs de la fabrication, des technologies de l’information, de la santé, des services financiers, ainsi que de l’alimentation et de l’agriculture.
« L’expansion d’Akira au-delà de Windows vers les serveurs Linux, VMware ESXi, Hyper-V et maintenant Nutanix AHV n’est pas une expérience secondaire. C’est un signal très délibéré que ce groupe planifie sur le long terme. Les ransomwares multiplateformes sont coûteux à construire et encore plus difficiles à maintenir », a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research.
Fin septembre 2025, le ransomware Akira avait réclamé environ 244,17 millions de dollars de produits de ransomware, a noté la CISA.
Comment Akira fait irruption
Pour obtenir un premier accès, l’acteur malveillant Akira a exploité des services de réseau privé virtuel (VPN) mal sécurisés sans authentification multifacteur (MFA), en utilisant des vulnérabilités et des expositions courantes connues dans des produits comme Cisco et SonicWall.
Les techniques utilisées incluent le déploiement de techniques de pulvérisation de mots de passe, en plus du spearphishing, de l’abus d’informations d’identification valides et des techniques exploitant des services externes, comme le protocole de bureau à distance. Dans certains incidents, il avait également obtenu l’accès via le protocole Secure Shell(SSH) en exploitant l’adresse IP d’un routeur. Après le tunneling via un routeur ciblé, il a exploité des vulnérabilités accessibles au public, telles que celles trouvées dans le composant Veeam Backup and Replication des serveurs de sauvegarde Veeam non corrigés, note l’avis.
Des commandes malveillantes ont été exécutées, notamment des scripts Visual Basic (VB). Les auteurs de la menace Akira ont utilisé nltest /dclist: et nltest/DOMAIN_TRUSTS pour la découverte de réseaux et de domaines. De plus, pour éviter d’être détecté, il a abusé des outils d’accès à distance tels que AnyDesk et LogMeIn pour maintenir la persistance et se fondre dans l’activité de l’administrateur. Il a exploité Impacket pour exécuter la commande à distance wmiexec.py et a également désinstallé les systèmes de détection et de réponse des points finaux (EDR).
Les acteurs malveillants ont également créé de nouveaux comptes d’utilisateurs et les ont ajoutés au groupe d’administrateurs pour prendre pied dans l’environnement.
Pour les communications de commande et de contrôle (C2), il utilisait auparavant deux variantes de ransomware contre différentes architectures système lors d’une tentative de compromission : le ransomware « Megazord » spécifique à Windows et le chiffreur Akira ESXi, Akira_v2. Cependant, Megazord est probablement devenu hors d’usage depuis 2024.
Selon la nouvelle mise à jour, des utilitaires de tunneling, tels que Ngrok, sont utilisés pour lancer des sessions cryptées qui contournent la surveillance du périmètre. Il utilise également PowerShell et la ligne de commande Windows Management Instrumentation (WMIC) pour désactiver les services et exécuter des scripts malveillants.
Il utilise des outils tels que FileZilla et WinRAR pour collecter des données et WinSCP et RClone pour exfiltrer les données. Et après l’exfiltration des données, il a utilisé un modèle de double extorsion, comprenant le cryptage des systèmes et la menace de fuite d’informations sensibles. L’avis indique que les acteurs malveillants d’Akira ont pu exfiltrer les données en un peu plus de deux heures après l’accès initial.
Les acteurs de la menace Akira utilisent le chiffrement de flux ChaCha20 avec un système de cryptographie à clé publique RSA pour un échange de clés rapide et sécurisé. Alors qu’auparavant les fichiers cryptés apparaissaient avec une extension .akira ou .powerranges, la nouvelle variante Akira_v2 utilise également .akiranew ou .aki.
Pour empêcher la récupération du système et empêcher l’analyse médico-légale, le chiffreur d’Akira (w.exe) a utilisé des commandes PowerShell pour supprimer les copies du service de cliché instantané des volumes (VSS) sur les systèmes Windows. Conformément à la nouvelle mise à jour, une demande de rançon nommée fn.txt ou akira_readme.txt apparaît à la fois dans le répertoire racine et dans le répertoire personnel de chaque utilisateur.
Menace qui prospère dans les angles morts des entreprises
Les experts indiquent qu’Akira exploite les angles morts que les entreprises reconnaissent mais qu’elles corrigent rarement. Parmi les angles morts, l’accès à distance arrive en tête de liste, suivi par l’application de correctifs.
« Akira gagne non pas parce qu’il a réinventé les ransomwares, mais parce qu’il a perfectionné les éléments que les entreprises ne prennent pas au sérieux. Il exploite l’inertie autour des appareils VPN oubliés, des pare-feu sous-correctifs, des serveurs de sauvegarde vieillissants et des appareils de pointe qui échappent aux conversations de sécurité quotidiennes. La menace est subtile, persistante et conçue pour prospérer dans les zones grises que les organisations négligent », a déclaré Gogia.
Gogia a noté que les appareils réseau et les plates-formes de sauvegarde ont souvent des mois ou des années de retard sur les mises à jour, c’est pourquoi Akira exploite régulièrement les vulnérabilités de Cisco ASA, SonicWall, ESXi et Veeam qui auraient dû être fermées depuis longtemps.
Repenser la défense contre les ransomwares
Alors que les directives standard incluent les correctifs, l’authentification multifacteur et les sauvegardes régulières, Akira Wave souligne clairement la nécessité de mettre en place des mécanismes de défense supplémentaires.
« Rien qu’en 2025, le ransomware Akira représentait environ 8 à 11 % de toutes les attaques de ransomware réussies dans le monde, avec une augmentation de 38 % du nombre d’incidents et une expansion notable des méthodes d’attaque multiplateformes », a déclaré Devroop Dhar, co-fondateur et directeur général de Primus Partner. « Cette polyvalence signifie une perturbation simultanée des points finaux et de l’infrastructure de base de l’entreprise, démontrant une vision calculée et à long terme de la part des développeurs d’Akira pour correspondre à la complexité et à la nature hybride des systèmes d’entreprise modernes. »
« Les meilleures pratiques signifient désormais une segmentation robuste du réseau pour limiter les violations, une surveillance vigilante des activités administratives inhabituelles et une extension de la détection et de la réponse aux serveurs de sauvegarde, aux consoles d’hyperviseur et aux appareils connectés », a ajouté Dhar.
Une chasse proactive aux menaces, une gestion stricte des privilèges et des plans de récupération répétés sont également essentiels, a noté Dhar.
Les entreprises doivent également répéter des scénarios de ransomware à grande échelle. « Ces exercices doivent combiner la récupération technique avec une stratégie juridique, des plans de communication et des éventualités en matière de fuite de données. Les organisations qui résistent à Akira ne sont pas celles qui disposent du plus d’outils. Ce sont celles qui ont intégré leurs défenses, raccourci leurs fenêtres de détection et traité la résilience comme une discipline opérationnelle plutôt que comme une aspiration », a ajouté Gogia.
Dhar a ajouté que penser comme un attaquant est désormais une compétence essentielle, et que combler les lacunes avant qu’elles ne soient exploitées est ce qui constitue un obstacle entre la perturbation et la survie.
