Alerte CISA : le gang Akira (ransomware) a extorqué 42 M$ à plus de 250 victimes

Le gang du ransomware Akira a gagné environ 42 M$ sur plus de 250 victimes, selon un avis de sécurité de la CISA (l’agence américaine en charge de la sécurité des infrastructures informatiques) publié jeudi dernier.

L’avis, publié conjointement avec le FBI, le Centre européen de lutte contre la cybercriminalité d’Europol et le Centre national de cybersécurité des Pays-Bas, a été publié pour partager avec les défenseurs les indicateurs de compromission connus et les tactiques, techniques et procédures. Selon les agences, depuis mars 2023, Akira « a eu un impact sur un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Europe et en Australie ».

Akira a notamment ciblé les VPN de Cisco dans une série d’attaques l’année dernière, et Sophos a classé Akira au deuxième rang des gangs de ransomwares les plus prolifiques de 2023 dans son « Active Adversary Report » (rapport sur les adversaires actifs) publié ce mois-ci. La CISA a mentionné la première campagne dans son avis en se référant aux méthodes courantes utilisées par Akira pour obtenir un accès initial.

« Le FBI et les chercheurs en cybersécurité ont observé des acteurs de la menace estampillés Akira, obtenant un accès initial à des organisations par le biais d’un service de réseau privé virtuel (VPN) sans authentification multifactorielle (MFA) configurée, principalement en utilisant les vulnérabilités connues de Cisco CVE-2020-3259 et CVE-2023-20269 », peut-on lire dans l’avis. « D’autres méthodes d’accès initial comprennent l’utilisation de services externes tels que le protocole de bureau à distance (RDP), le spear phishing et l’abus d’informations d’identification valides. »

Une fois que les acteurs de la menace ont obtenu l’accès initial, ils « abusent des fonctions des contrôleurs de domaine en créant de nouveaux comptes de domaine pour établir la persistance ». Les techniques courantes de post-exploitation comprennent le « Kerberoasting » pour l’extraction des informations d’identification, les outils de grattage d’informations d’identification comme Mimikatz pour l’escalade des privilèges, et des outils comme Advanced IP Scanner et SoftPerfect pour la découverte d’autres terminaux. En ce qui concerne le chiffrement, la CISA explique qu’Akira utilisait un « schéma de chiffrement hybride sophistiqué », qui combine « un chiffrement de flux ChaCha20 avec un système de chiffrement à clé publique RSA pour la rapidité et la sécurité de l’échange de clés ».

En outre, le groupe a été observé en train de déployer deux variantes de ransomware sur des architectures de système différentes. « Sur la base d’enquêtes menées par des tiers de confiance, les membres d’Akira ont été observés en train de déployer deux variantes distinctes de ransomware contre différentes architectures de système au cours d’un même événement compromettant », peut-on ainsi lire dans l’avis. « Cela marque un changement par rapport à l’activité du ransomware Akira récemment signalée. En effet ses promoteurs ont été observés en train de déployer d’abord le ransomware “Megazord” spécifique à Windows, mais une analyse plus poussée a révélé qu’une deuxième charge utile a été déployée simultanément dans cette attaque (qui a ensuite été identifiée comme une nouvelle variante de l’encrypteur ESXi Akira, “Akira_v2”) ».

L’avis comprend également une liste d’outils utilisés par Akira, des indicateurs de compromission et une liste de tactiques et de techniques Mitre ATT&CK.

La liste des mesures d’atténuation figurant dans l’avis conjoint est conforme aux avis précédents de la CISA. L’agence américaine de cybersécurité recommande notamment aux organisations de mettre en œuvre un plan de reprise, d’exiger une authentification multifactorielle, de rester à jour en matière de correctifs et de segmenter les réseaux.