Profil de Menace : Groupe Ransomware Akira

Note

Résumé exécutif : actif depuis mars 2023, Akira est un groupe de Ransomware-as-a-Service (RaaS) à motivation financière. Si leur site de fuite arbore une esthétique nostalgique de terminal des années 80, leurs techniques opérationnelles sont hautement modernes. Opérant sur un modèle de double extorsion, ils sont récemment passés de la simple compromission d’identifiants à l’exploitation active de vulnérabilités périmétriques (comme SonicWall et les VPN Cisco) pour compromettre les infrastructures Windows et VMware ESXi.

1. Profil de l’acteur de la menace

• Type : Ransomware-as-a-Service (RaaS), motivation financière.
• Cibles privilégiées : secteurs de l’éducation, de la finance, de l’immobilier et de l’industrie manufacturière, principalement en Amérique du Nord et en Europe.
• Arsenal principal :
  • Charge utile Windows : écrite en C++, chiffre les fichiers et ajoute l’extension .akira.
  • Charge utile Linux/ESXi : une variante spécialisée conçue pour cibler et paralyser les infrastructures de virtualisation VMware ESXi.

2. Tactiques, techniques et procédures (TTPs)

Les analystes DFIR qui traquent les intrusions d’Akira observent systématiquement un schéma opérationnel distinct, cartographié selon le référentiel MITRE ATT&CK.

Accès initial et persistance

Les opérateurs d’Akira s’appuient fortement sur la compromission d’équipements de périmètre. Historiquement, la CISA américaine a identifié leur vecteur principal comme étant l’exploitation de services VPN Cisco dépourvus d’authentification multifacteur (MFA). Pour la persistance, le groupe déploie des outils légitimes d’accès à distance (RMM) plutôt que des portes dérobées personnalisées. Les outils couramment utilisés incluent AnyDesk, RustDesk et Splashtop.

Accès aux identifiants et mouvement latéral

Une fois à l’intérieur, le groupe utilise des outils comme Mimikatz, LaZagne et Pwdump pour extraire les secrets de la mémoire LSASS. Le mouvement latéral est presque exclusivement mené via le protocole RDP (Remote Desktop Protocol), souvent en utilisant des clients RDP portables tels que mstsc.exe.

Exfiltration et impact

Les données sont exfiltrées avant le chiffrement pour permettre la double extorsion. Les opérateurs d’Akira privilégient les outils de synchronisation légitimes, plus particulièrement Rclone, WinSCP et FileZilla. Afin d’empêcher la récupération du système (évasion de défense), la charge utile exécute la commande vssadmin.exe Delete Shadows /All /Quiet avant de lancer la séquence de chiffrement.

Danger

Activité récente (juillet - août 2025) : une recrudescence significative de l’activité d’Akira a été observée, exploitant des vulnérabilités zero-day et N-day dans les appliances VPN SSL SonicWall. Les organisations utilisant ces équipements doivent prioriser l’application des correctifs et la détection d’anomalies sur les journaux périmétriques.

---

3. Stratégie de traque et de détection DFIR

Lors de la réponse à un incident suspecté d’être lié à Akira (se référer au Playbook d’Investigation de Ransomware), les analystes doivent se concentrer sur des artefacts forensiques spécifiques.

1. Analyse de l’authentification périmétrique : auditer les journaux VPN (Cisco, SonicWall) pour détecter des adresses IP sources inhabituelles ou des anomalies de voyage impossible (impossible travel).
2. Traque des artefacts d’exécution : analyser les fichiers Prefetch (.pf) et l’Amcache pour identifier l’exécution de mimikatz.exe, rclone.exe, ou d’outils RMM non autorisés (AnyDesk.exe).
3. Suivi du mouvement latéral : filtrer les journaux de sécurité Windows pour l’Événement 4624 (Logon Type 10) afin de retracer l’origine des sessions RDP internes.
4. Suppression des Shadow Copies : surveiller Sysmon ou les journaux d’événements Windows (Événement 4688) pour détecter l’exécution de vssadmin.exe avec des paramètres de suppression d’ombres.

4. Cartographie MITRE ATT&CK

Accès initial et découverte

• Valid Accounts (T1078)
• Remote System Discovery (T1018)
• Network Share Discovery (T1135)

Accès aux identifiants et mouvement latéral

• OS Credential Dumping: LSASS Memory (T1003.001)
• Remote Desktop Protocol (T1021.001)

Exfiltration et impact

• Exfiltration Over C2 Channel (T1041)
• Data Encrypted for Impact (T1486)
• Inhibit System Recovery (T1490)

---

Références

• Avis CISA : AA24-109A (Akira Ransomware)
• Check Point Research : Profil du Ransomware Akira
• The Hacker News (2025) : Akira Ransomware Exploits SonicWall
• Arctic Wolf (2025) : July 2025 Uptick in Akira Activity Targeting SonicWall