Akira, un groupe de ransomware vieux d'un an, a pénétré dans plus de 250 organisations et a soutiré environ 42 millions de dollars en recettes de ransomware, ont alerté les principales agences mondiales de cybersécurité.

Les enquêtes menées par le Federal Bureau of Investigation (FBI) des États-Unis ont révélé que le ransomware Akira cible des entreprises et des infrastructures critiques en Amérique du Nord, en Europe et en Australie depuis mars 2023. Alors que le ransomware ciblait initialement les systèmes Windows, le FBI a récemment découvert une variante Linux d'Akira.

Le FBI, ainsi que l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), le Centre européen de lutte contre la cybercriminalité d'Europol (EC3) et le Centre national de cybersécurité des Pays-Bas (NCSC-NL), ont publié un avis conjoint de cybersécurité (CSA) afin de « diffuser » la menace auprès des masses.

Selon cet avis, Akira obtient un accès initial par l'intermédiaire de réseaux privés virtuels (VPN) préinstallés dépourvus d'authentification multifactorielle (MFA). Le ransomware extrait ensuite les informations d'identification et d'autres informations sensibles avant de verrouiller le système et d'afficher une note de rançon.

« Les acteurs de la menace Akira ne laissent pas de demande de rançon initiale ou d'instructions de paiement sur les réseaux compromis, et ne relaient pas ces informations jusqu'à ce que la victime les contacte. »

Le groupe de ransomware exige des paiements en bitcoins (BTC) de la part des organisations victimes pour rétablir l'accès. Ces logiciels malveillants désactivent souvent les logiciels de sécurité après l'accès initial pour éviter d'être détectés.

Meilleures pratiques de cybersécurité contre les attaques de ransomware. Source : cisa.gov

Parmi les techniques d'atténuation des menaces recommandées dans l'avis, citons la mise en œuvre d'un plan de récupération et d'un système de gestion des accès, le filtrage du trafic réseau, la désactivation des ports et des hyperliens inutilisés et le chiffrement de l'ensemble du système.

« Le FBI, la CISA, l'EC3 et le NCSC-NL recommandent de tester continuellement votre programme de sécurité, à grande échelle, dans un environnement de production afin de garantir une performance optimale par rapport aux techniques ATT&CK de MITRE identifiées dans cet avis. », concluent les agences.

À lire également : Un mystérieux logiciel malveillant cible les tricheurs de Call of Duty et leur vole leurs bitcoins

Le FBI, la CISA, le NCSC et l'Agence nationale de sécurité des États-Unis (NSA) avaient déjà émis des alertes concernant des logiciels malveillants utilisés pour cibler des portefeuilles et des exchanges de cryptomonnaies.

Répertoires dans lesquels des informations ont été extraites par le logiciel malveillant. Source : Centre national de cybersécurité

Le rapport indique que certaines des données extraites par le logiciel malveillant se trouvaient dans les répertoires des applications des exchanges Binance et Coinbase et de l'application Trust Wallet. Selon le rapport, tous les fichiers des répertoires cités sont exfiltrés, quel que soit leur type.