Barracuda full logo

Les dossiers du SOC : le ransomware Akira retourne l'outil de gestion à distance des victimes contre lui-même

Thèmes:
25 sept. 2025
|
Yuvashree Murugan

L'équipe Managed XDR de Barracuda a récemment atténué une attaque par ransomware d'Akira qui tentait d'échapper à la détection en exploitant les outils de l'infrastructure de la cible plutôt que d'utiliser son propre arsenal connu, et en déguisant son activité malveillante en activité informatique habituelle.

Le déroulement de l'attaque

Profitant d'une fête nationale, des cybercriminels armés du ransomware Akira, un kit RaaS (Ransomware-as-a-Service) polyvalent et opportuniste, ont ciblé le réseau d'une organisation peu avant 4 h 00 du matin.

Les pirates ont accédé à un contrôleur de domaine (DC), un serveur critique chargé d'authentifier et de valider l'accès des utilisateurs aux ressources du réseau, telles que les fichiers et les applications. L'outil de surveillance et de gestion à distance (RMM) de Datto était installé sur le serveur DC.

Les pirates ont utilisé une méthode appelée Living Off The Land (LOTL), qui consiste à utiliser des outils préinstallés et légitimes pour mener une attaque.

Ils ont repéré la console de gestion de l'outil RMM et l'ont utilisée, ainsi que plusieurs agents de backup précédemment installés, pour mettre en œuvre l'attaque sans déclencher d'alerte de sécurité liée à l'installation d'un nouveau logiciel ou à une activité suspecte.

La chaîne d'attaque RMM d'Akira

  • Les pirates ont utilisé le RMM de Datto pour envoyer et exécuter à distance un script PowerShell depuis son dossier Temp, en utilisant un « contournement de la politique d'exécution » permettant d'ignorer les contrôles de sécurité intégrés à PowerShell.
  • Le script a été exécuté avec des privilèges au niveau du système, ce qui lui a permis d'exercer un contrôle total sur le serveur infecté.
  • Peu après, des commandes PowerShell codées ont été utilisées pour exécuter des outils supplémentaires, et plusieurs fichiers exécutables inconnus (binaires) ont été placés dans des répertoires Windows de confiance afin d'éviter tout soupçon.
  • Ces fichiers contenaient des scripts déguisés, un script conçu pour manipuler les règles du firewall et un script dissimulé dans un répertoire non standard, probablement une zone de transit créée par les pirates.
  • Des modifications ont été apportées au registre pour aider les pirates à rester dissimulés ou pour désactiver les fonctionnalités de sécurité.
  • Le Volume Shadow Copy Service (VSSVC.exe) a été arrêté sur le contrôleur de domaine quelques minutes avant le début du chiffrement des fichiers. Cette opération est souvent effectuée lors de la maintenance informatique de routine, mais elle est également utilisée lors des attaques par ransomware avant le chiffrement, car elle élimine les copies qui pourraient autrement être utilisées pour restaurer les fichiers.
  • À 4 h 54, la charge utile du ransomware a commencé à chiffrer les fichiers, en les modifiant avec l'extension .akira extension.

Heureusement, le contrôleur de domaine était protégé par Barracuda Managed XDR Endpoint Security.

Le tout premier chiffrement de fichier a été détecté instantanément par la règle de chiffrement personnalisée de XDR, ce qui a permis d'isoler immédiatement l'appareil concerné et de mettre fin à l'attaque.

Principaux enseignements clés

  • Les pirates n'ont pas déployé de nouveaux malwares sophistiqués ni d'outils qui auraient immédiatement déclenché des signaux d'alarme. Au lieu de cela, ils ont utilisé ce qui était déjà là : le RMM de Datto et les agents de backup — des outils de confiance installés sur les terminaux.
  • De même, l'activité des pirates reflétait étroitement ce qu'un agent de backup pourrait légitimement réaliser pendant les tâches planifiées. Tout cela a donné l'impression d'une activité informatique normale.
  • Akira est un RaaS intelligent et inventif. Les développeurs derrière le malware ne suivent pas de règles fixes. Leurs tactiques changent régulièrement, ce qui rend plus difficile leur détection dès les premières phases d'une attaque, car elles ne correspondent pas aux signatures d'attaques connues.
  • Pour protéger efficacement les environnements informatiques contre des attaques variées et polyvalentes, une couverture XDR complète qui s'étend aux terminaux, au réseau, au serveur, au cloud et plus encore, offre aux équipes SOC une visibilité totale et la capacité de détecter et de neutraliser les menaces le plus tôt possible dans le cycle de vie de l'attaque.

Restaurer et récupérer

Une fois la menace neutralisée, l'équipe Barracuda Managed XDR a travaillé avec le client pour mettre en œuvre les mesures suivantes :

  • Isoler tous les appareils touchés au niveau de l'organisation
  • Déclencher des retours en arrière pour toutes les menaces détectées dans l'organisation
  • Effectuer un balayage approfondi des indicateurs de compromission (IOC) pour détecter tous les artefacts restants liés à Akira
  • Confirmer la réussite du retour en arrière et la stabilité des terminaux, en redémarrant les appareils si nécessaire pour achever la procédure
  • Travailler avec le client pour examiner et renforcer les politiques des terminaux après l'incident
  • Valider toutes les actions à l'aide des playbooks SOAR

Barracuda Managed XDR permet de détecter et d'atténuer ces incidents. Il surveille en permanence les terminaux et l'activité du réseau pour repérer les comportements anormaux tels que la suppression inattendue de fichiers et les modifications du registre. Managed XDR offre en outre des capacités de réponse rapide aux incidents, ce qui permet d'endiguer rapidement les menaces identifiées et d'y remédier. Des journaux détaillés et une analyse légale permettent de retracer l'origine et la portée de l'attaque afin de prendre des mesures stratégiques de prévention à l'avenir.

En s'intégrant à la détection et à la réponse des endpoints (EDR), Managed XDR améliore la visibilité des systèmes isolés et fournit des informations exploitables pour l'atténuation des risques. La chasse proactive aux menaces prise en charge par Managed XDR permet d'identifier les mécanismes de persistance et de les éliminer avant que les pirates n'obtiennent un accès durable.

Consultez le site Web pour plus d'informations sur Barracuda Managed XDR et SOC. Pour connaître les dernières fonctionnalités, les mises à niveau et les nouvelles détections de Barracuda Managed XDR, lisez les dernières notes de version.

Les principaux outils et techniques utilisés dans cette attaque

Indicateurs de compromission

Gardez une longueur d’avance sur les pirates avec une cybersécurité gérée 24/7.
Yuvashree Murugan

Ingénieure en sécurité des points de terminaison chez Barracuda, Yuvashree Murugan est passionnée par la détection des menaces et la réponse aux incidents ainsi que par la transformation des chaînes d’attaques complexes en défenses claires et exploitables.

Billets associés :
Introducing Barracuda Research — the new resource for our global threat intelligence and insight
Introducing Barracuda Research — the new resource for our global threat intelligence and insight
 Mois de la sensibilisation à la cybersécurité : il est temps de vous occuper de votre backlog de vulnérabilités
Mois de la sensibilisation à la cybersécurité : il est temps de vous occuper de votre backlog de vulnérabilités
 Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
 Confronter le côté obscur de l’IA générative : recommandations pour les dirigeants, RSSI et équipes de sécurité
Confronter le côté obscur de l’IA générative : recommandations pour les dirigeants, RSSI et équipes de sécurité
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.