Ransomware : Akira continue sur sa lancée

L’enseigne, soupçonnée d’avoir recruté des anciens de Black Basta, continue d’afficher un niveau d’activité particulièrement élevé, que ses nombreuses revendications, seules, ne reflètent pas pleinement.

Surprise, début février 2025. L’enseigne Akira venait de multiplier les revendications de victimes encore inconnues, en lots, pour des faits présentés comme datant de 2024 : 26 noms avaient ainsi été mis à l’index d’un coup sur le site vitrine de la marque de ransomware. Ce lot faisait suite à un précédent, le 31 janvier, de 34 noms. 

Depuis, Akira continue sur sa lancée, revendiquant les victimes à un rythme soutenu : 54 au mois d’avril, à date, après 62 en mars, et un total de 80 en février. Mais dans ce dernier cas, au moins 21 des revendications se rapportaient à des faits antérieurs. 

De quoi rappeler un épisode antérieur, début novembre dernier. À ce moment-là, Akira créait la surprise en relançant son site vitrine après quelques semaines de silence radio. Son site dédié aux négociations avait lui aussi été fermé, un temps. L’enseigne en avait vraisemblablement profité pour le mettre à jour, une nouvelle fois, en déployant des mécanismes visant à réduire les risques d’intrusion dans ses communications.

Au total, à l’issue de cette réouverture, Akira a revendiqué un peu plus de 80 victimes en novembre dernier. Au moins 49 se rapportaient à des faits vraisemblablement antérieurs, remontant à l’été. Mais pas uniquement.

De sources concordantes, d’anciens affidés de Black Basta ont migré chez Akira à l’occasion d’une implosion de l’enseigne, elle aussi descendante de feu Conti. De quoi expliquer, au moins en partie, l’explosion du niveau d’activité observable d’Akira.

Mais il y a plus que l’éclairage que peuvent fournir les revendications et les estimations – voire une confirmation pour les victimes publiquement établie –, pour montrer cette croissance rapide : les échantillons du rançongiciel et les négociations. 

Force est là de constater que les échantillons du ransomware de l’enseigne Akira se sont récemment multipliés dans les sandbox d’analyse telles que VirusTotal. Et les négociations également. Au moins une vingtaine d’entre elles étaient encore tout récemment ouvertes sur l’infrastructure d’Akira, en fin de semaine dernière, dont bon nombre renvoyaient à des événements survenus depuis le début de l’année. 

Selon nos informations, plusieurs négociations sont toutefois déjà fermées, suggérant la survenue d’un paiement de rançon. Le plus récent observé remonte au 17 avril. Le suivi des flux financiers en Bitcoins suggère que d’autres, plus récents encore, ne sont pas à exclure. 

Le profil des récentes victimes d’Akira est très variable, tout autant que les dégâts qui leur sont infligés et le volume de données qui leur sont volées, allant de moins d’un gigaoctet parfois, à plusieurs centaines. Certaines victimes ne sont même pas revendiquées avant que leurs données ne soient divulguées, à l’instar d’Elite Advanced Laser Corporation, attaquée en janvier et dont les données ont été divulguées début mars.

Selon nos confrères de Bleeping Computer, un affidé d’Akira est impliqué dans la toute récente cyberattaque contre Hitachi Vantara, survenue le 26 avril. Elle n’a pas encore été revendiquée à ce jour.

Pour approfondir sur Menaces, Ransomwares, DDoS