Barracuda full logo

Akira : un ransomware moderne avec une ambiance rétro

Thèmes:
11 févr. 2025
|
Christine Barry

Le groupe de ransomware Akira est apparu en mars 2023 et s'est rapidement imposé comme un acteur redoutable. Akira est une opération de ransomware-as-a-service (RaaS) qui cible plusieurs industries, principalement aux États-Unis et dans les pays alliés. Au 1er janvier 2024, Akira avait « touché plus de 250 organisations et réclamé environ 42 millions de dollars américains de rançons ».

Les pirates du groupe Akira ont dérobé une grande quantité d'argent, mais leurs attaques ne réussissent pas toujours. Notre centre d'opérations de sécurité a récemment décrit ici une attaque Akira qui a échoué. Nous utiliserons ce rapport plus tard lorsque nous explorerons la chaîne d'attaque d'Akira.

Naissance

L'histoire d'Akira commence avec le groupe de ransomwares Conti, qui a mené des attaques de décembre 2019 à mai 2022. Les analystes pensent que Conti a cessé ses opérations en raison des répercussions du soutien du groupe à la Russie : 

 

Menace du ransomware Conti contre les nations occidentales

La menace du ransomware Conti, via Security Week

En représailles à cette manifestation de soutien, un acteur non identifié a divulgué des centaines de fichiers privés de Conti, révélant des adresses de Bitcoin, des messages privés et le manuel de ransomware du groupe. Conti semble ne s'être jamais remis de ce coup dur. Le groupe a cessé ses attaques en mai 2022 et a mis son dernier site Web hors ligne le mois suivant. En utilisant les données divulguées et l'analyse des attaques, les chercheurs ont découvert une longue liste de preuves reliant Akira à Conti. Ce lien n'a pas été confirmé, mais de nombreux experts attribuent le succès précoce d'Akira à son accès aux ressources de Conti et à son expertise criminelle.

Contrairement à Conti, Akira n'a pas prêté allégeance à la Russie ni aux pays alliés. Akira communique en russe sur les forums du dark Web, et son ransomware inclut des mesures de sécurité pour empêcher l'exécution sur des systèmes avec un clavier en langue russe. En s'ajoutant aux liens avec Conti, ces preuves suggèrent qu'Akira a un lien avec la Russie, mais rien ne prouve la localisation du groupe. Il ne s'agit pas non plus de preuves suffisantes pour confirmer que le groupe est d'origine russe. 

Image de marque

Les chercheurs pensent que le nom « Akira » s'inspire du film d'animation cyberpunk de 1988 du même nom, où le personnage principal est une force incontrôlable et perturbatrice. La théorie qui prévaut est que le groupe utilise ce nom pour se présenter de la même manière.

Le groupe a également adopté une esthétique de terminal rétro avec écran vert pour son site de fuite, qui utilise une interface de ligne de commande (CLI) pour la navigation et les communications, et n'accepte que cinq commandes. 

 

Capture d'écran du site de fuite de données d'Akira

Site de fuite de données Akira, via Bleeping Computer

Cette simplicité et ce look vintage masquent le fait qu'Akira est un groupe très sophistiqué et agressif.

Motivation

Le seul objectif d'Akira est l'argent. Le groupe cible les petites et moyennes entreprises (PME), bien qu'il ait fait quelques victimes plus importantes et bien connues comme Nissan et l'Université de Stanford

 

Site de fuite Akira avec Stanford University en tête de liste, via Bitdefender.

Site de fuite Akira avec Stanford University en tête de liste, via Bitdefender.

Le groupe autorise les attaques contre tous les secteurs, même si l'industrie manufacturière et les infrastructures critiques semblent être ses secteurs préférés.

Chaîne d'attaque

La chaîne d'attaque Akira détaille la séquence des événements et les outils utilisés lors d'une attaque, de l'accès initial à l'exfiltration et au chiffrement des données. Nous allons utiliser notre récent combat contre Akira pour voir comment Akira utilise sa chaîne d'attaque dans une attaque réelle contre une victime qui n'a que des défenses partielles.

Accès initial :

Les experts du SOC de Barracuda ont identifié plusieurs zones de risque préexistantes dans le réseau de la victime, notamment un canal VPN ouvert, des appareils non protégés et une utilisation incohérente de l'authentification multi-facteurs (MFA). Ces conditions étaient directement pertinentes pour l'attaque, en commençant par l'accès initial via le VPN.

Élévation de privilèges et mouvement latéral

Il s'agit d’une étape précoce « post-infection » dans la plupart des chaînes d'attaque, car les acteurs malveillants tentent de maximiser leur portée au sein du réseau de la victime. Dans notre cas, Akira a utilisé une technique de type « pass-the-hash » pour accéder à des systèmes de réseau protégés par mot de passe. Si vous souhaitez en savoir plus sur le hachage de mot de passe, voici une bonne vidéo d'introduction.

L'étape suivante documentée par le SOC de Barracuda a été l'exécution d'Advanced IP Scanner, un outil logiciel gratuit et légitime qui permet de répertorier les appareils d'un réseau. Ceci est utilisé pour identifier les actifs du réseau et établir un mouvement latéral.

Défense contre le piratage

Les techniques d'évasion défensive d'Akira s'appuient sur un ensemble de ressources pour désactiver la sécurité des terminaux et les solutions antivirus.

  • PowerTool, KillAV et Terminator sont des programmes utilisés pour mettre fin aux processus liés à l'antivirus.
  • Les commandes PowerShell sont utilisées pour désactiver Microsoft Defender Real-Time Protection. PowerShell est également utilisé pour supprimer les fichiers Volume Shadow Copy Services (VSS) avant le chiffrement.
  • Les modifications du registre désactivent ou reconfigurent Microsoft Defender. D'autres modifications incluent une modification du registre Userlist pour masquer les comptes sur l'écran de connexion, et une modification du registre DisableRestrictedAdmin pour permettre la connexion sans identifiants.

Barracuda XDR Endpoint Security dispose de capacités anti-sabotage qui ont empêché les attaquants de désactiver ou de reconfigurer sa protection.

Exfiltration et chiffrement des données

Parallèlement à ses efforts d'évasion, le groupe Akira a commencé à exécuter WinRAR pour compresser les données qu'il avait l'intention de voler à la victime. Les données sont généralement exfiltrées à l'aide de méthodes qui imitent le trafic légitime. Au cours de cet événement, Akira a réussi à obtenir un accès de niveau administrateur sur un serveur non protégé. Cela lui a permis de lancer le chiffrement.

Le ransomware a tenté de chiffrer à distance les appareils réseau accessibles depuis le serveur non protégé. Barracuda XDR l'a immédiatement détecté et a déconnecté du réseau tous les points d'extrémité protégés.

Barracuda XDR n'a pas été déployé sur l'ensemble du réseau de la victime, et les politiques de sécurité internes n'ont pas été appliquées de manière cohérente. Pour en savoir plus sur les conséquences et les enseignements tirés, lisez cet article

Négociations

Si l'attaque réussit, Akira dépose une demande de rançon avec des instructions pour contacter le groupe. Cela permet à Akira de prouver ses affirmations et d'exiger une rançon. Voici un exemple de demande de rançon :

Nous sommes prêts à fixer un prix de 250 000 $ pour TOUS les services que nous proposons : 1) assistance complète au déchiffrement ; 2) preuve de suppression des données ; 3) rapport de sécurité sur les vulnérabilités que nous avons trouvées ; 4) garanties de ne pas publier ou vendre vos données ; 5) garanties de ne pas vous attaquer à l'avenir. Faites-nous savoir si vous êtes intéressés par une offre globale ou partielle. Cela aura une incidence sur le prix final.

Nous savons tous qu'il ne faut jamais payer de rançon, mais nous savons aussi que parfois des rançons sont effectivement versées. Cependant, à moins qu'Akira ne change ses pratiques, il n'y aura jamais de bonne raison de payer pour le « service » de rapport de sécurité d'Akira. 

L'accès initial à votre réseau a été acheté sur le dark Web. Ensuite, le kerberoasting a été exécuté et nous avons obtenu des hachages de mots de passe. Ensuite, nous les avons utilisés pour obtenir le mot de passe de l'administrateur du domaine.

Il s'agit d'une déclaration copier/coller utilisée dans toutes les discussions de négociation disponibles ici. Elle est suivie d'une liste de bonnes pratiques. Akira ne fournira aucune information sur les vulnérabilités, les identifiants compromis ou l'endroit où les identifiants ont été achetés. Il n'y a rien d'unique concernant la victime dans ce rapport. Si vous êtes en négociation avec Akira, prenez cela en compte et examinez les derniers chats de négociation disponibles avant de payer pour ce rapport.

Si la victime ne paie pas la rançon, Akira envoie un message comme celui-ci :

Vous pouvez vous retrouver dans notre rubrique d'actualités : https://akiral2iz6a7qgd3ayp3l6yub7xx2uep .... [redacted] Si vous souhaitez que ce message soit supprimé, nous devons trouver un accord.

Conclusion

Il n'y a vraiment aucune raison d'être victime d'une attaque d'Akira. Il s'agit d'un groupe dangereux, mais il s'appuie sur des lacunes qui sont souvent comblées par de bonnes pratiques en matière de sécurité. Si vous êtes victime d'Akira, consultez ces informations pour vous préparer aux négociations.

Barracuda Managed XDR et SOC apporte une défense complète, à plusieurs niveaux, avec une visibilité intégrée et étendue. Cette solution offre une défense féroce contre les menaces avancées telles qu'Akira, et elle est facile à acheter, à déployer et à gérer.

Pour en savoir plus :

 

GARDEZ UNE LONGUEUR D'AVANCE SUR LES ATTAQUANTS GRÂCE À UNE SÉCURITÉ GÉRÉE 24 HEURES SUR 24 ET 7 JOURS SUR 7

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.