Le centre de recherche cyber d’Europol, la Cisa – l’agence américaine de cybersécurité équivalente de l’Anssi – le FBI viennent de confirmer la trop bonne fortune du gang de rançongiciel Akira. Dans une note commune, ces derniers remarquent en effet que ce groupe de cybercriminels a réussi à encaisser environ 42 millions de dollars de rançons entre mars 2023 et janvier 2024, après avoir visé 250 organisations.
L’ampleur du butin des cybercriminels d’Akira, qui pratiquent la double extorsion – le chiffrement de données et la menace de publication des données volées – n’est pas une surprise. L’an dernier, le spécialiste des négociations Coveware avait signalé la percée du gang, passé en cours d’année au premier rang des groupes les plus actifs.
Leader actuel
Akira a notamment profité des mésaventures d’ALPHV/BlackCat, débranché un temps par le FBI – ce qui n’a pas empêché ces derniers de réussir un dernier coup d’éclat en mars. Au premier trimestre de 2024, Akira serait derrière 21% des attaques par rançongiciels, selon les derniers chiffres de Coveware. Une réussite sans doute également poussée par les mésaventures de l’ancien leader du genre LockBit, visé par une importante opération policière.
Comme le signalent Europol, la Cisa et le FBI, Akira vise d’abord des cibles en Amérique du nord, en Europe et en Australie. Les cybercriminels s’attaquent ainsi, précise l’entreprise de cybersécurité Sophos, à des administrations, des entreprises de l’industrie, de la technologie, du conseil, de la pharmacie et des télécommunications.
Les cybercriminels avaient notamment déployé en avril 2023 une variante Linux ciblant les machines virtuelles VMware ESXi de leur programme malveillant, avant de trébucher. L’éditeur Avast avait en effet publié en juin dernier un programme de déchiffrement pour le rançongiciel, une grosse tuile pour les cybercriminels.
Une variante
Mais les pirates informatiques n’étaient pas arrêtés à cette mésaventure, avec la réussite que l’on sait désormais. Ils ont également tenté par exemple d’obtenir des accès illégaux en passant par des vulnérabilités dans les réseaux privés virtuels de Cisco. L’entreprise avait averti que les cybercriminels s’intéressaient notamment aux VPN n’ayant pas mis en place une authentification à plusieurs facteurs, une vulnérabilité connue.
Si le rançongiciel était au départ programmé en C++, avec une extension en .akira pour les fichiers chiffrés, une autre version a été remarquée. Dénommée Megazord, elle tourne sur code programmé en Rust, avec une extension différente, .powerranges, pour les fichiers chiffrés.