
Akira : l’explosion silencieuse (et à retardement)
L’enseigne de ransomware est particulièrement loquace depuis le début du mois de novembre 2024, multipliant les revendications de victimes, voire les divulgations de données sans revendication préalable. Mais certains faits remontent à 2023.
Surprise, en ce début février 2025. L’enseigne Akira vient de multiplier les revendications de victimes inconnues à ce jour, en lots, pour des faits présentés comme datant de 2024 : 26 noms ont ainsi été mis à l’index d’un coup sur le site vitrine de la marque de ransomware.
Ce lot fait suite à un précédent, le 31 janvier, de 34 noms. Faut-il ainsi suivre les allégations d’Akira et gonfler ses chiffres pour l’année passée de ces nouvelles revendications ? Cela ne paraît pas totalement farfelu.
Car l’enseigne n’hésite pas à prendre son temps pour revendiquer ses victimes et en divulguer les données. Quelques semaines de délai ne sont pas rares. Mais à l’automne 2024, Akira divulguait encore des données effectivement dérobées à des victimes attaquées plus d’un an auparavant. Nous avons pu l’estimer à partir de l’examen de dates de création de fichiers et dossiers, ou de torrents.
Début novembre dernier, Akira créait la surprise en relançant son site vitrine après quelques semaines de silence radio. Son site dédié aux négociations avait lui aussi été fermé, un temps. L’enseigne en avait vraisemblablement profité pour le mettre à jour, une nouvelle fois, en déployant des mécanismes visant à réduire les risques d’intrusion dans ses communications.
Au total, à l’issue de cette réouverture, Akira a revendiqué un peu plus de 80 victimes en novembre dernier. Au moins 49 se rapportaient à des faits vraisemblablement antérieurs, remontant à l’été. Mais pas uniquement.
Au moins 11 de ces victimes pourraient avoir été effectivement attaquées en 2023. Nous en avons la confirmation définitive pour trois d’entre elles, ayant été attaquées au premier semestre 2023 ; de quoi conforter les estimations.
Il est impossible de déterminer si ces divulgations très tardives sont accidentelles ou délibérées. Mais cela n’en constitue pas moins une mauvaise nouvelle pour les victimes ayant refusé de céder au chantage et s’étant, jusqu’ici, satisfaites de l’absence de divulgation de données.
Et cela rappelle à nouveau qu’une fois volées, les données d’une victime de cyberattaque peuvent avoir une, voire, plusieurs vies parfois plus longues qu’on ne l’imagine ni ne le souhaite. Autrement dit : l’histoire ne s’arrête pas à leur (non-)divulgation.
Comment estimer les dates d’exfiltration
L’enseigne Akira divulgue les données volées à ses victimes via BitTorrent. Le premier indice est la date de création du torrent. Mais c’est bien moins précis que les dates de création des fichiers et dossiers exfiltrés : il n’est pas rare que s’écoule un mois, ou plus, entre l’exfiltration et la création du torrent en vue de la divulgation des données d’une victime ayant refusé de payer.
La majorité des données volées par les affidés de l’enseigne Akira sont divulguées dans des archives RAR dont l’exécutable unrar est capable de produire une liste du contenu sans l’extraire, dates de création de fichiers et dossiers incluses.
Le recours aux archives RAR présente un autre avantage : il n’est pas nécessaire de disposer d’une archive complète pour établir la liste du contenu – au moins partiellement. Et cela aide, d’autant plus qu’un ou deux peers (tout au plus) distribuent effectivement les données : le téléchargement est long, très long, à compter qu’il soit tout juste possible. Une bonne nouvelle pour les victimes, directes et indirectes.
Selon la taille des archives et leur nombre, il est possible d’obtenir un échantillon suffisamment représentatif, plus ou moins vite, pour établir une estimation.
Après production des listes et suppression des archives partielles correspondantes, un script bash se charge de parcourir ces listes, au format texte, à la recherche de la date la plus récente. C’est elle qui servira de référence pour l’estimation. Des corrélations avec des déclarations officielles de victimes de la presse et des sources tierces ont permis de conforter la méthode.