Ransomware : des affidés d’Akira se tournent vers les VM Nutanix

Les autorités helvètes avaient récemment alerté : l’enseigne de rançongiciel Akira « a intensifié ses actions en Suisse ces derniers mois ». Et de lâcher un chiffre : « environ 200 entreprises » de la confrérie ont été victimes de cyberattaque impliquant Akira « entre mai 2023 et septembre 2025 ».

Un phénomène récent : « ces attaques sont toujours en cours et se sont intensifiées ces derniers mois. Les autorités ont en effet constaté une augmentation du nombre de cas liés au même ransomware (entre 4 et 5 par semaine, un chiffre record en Suisse), ce qui prouve que le groupe en question est très actif ».

C’est aujourd’hui au tour de l’agence américaine de cyberdéfense, la Cisa, de tirer la sonnette d’alarme.

L’enseigne Akira compte parmi les plus visiblement actives en 2025, depuis l’accélération de ses activités à l’automne dernier. Et elle a manifestement su attirer des recrues capables de faire évoluer leurs modes opératoires.

Ainsi, indique la Cisa, « lors d'un incident survenu en juin 2025, des acteurs malveillants associés à Akira ont chiffré pour la première fois les fichiers disque VM Nutanix AHV, étendant ainsi leurs capacités au-delà de VMware ESXi et Hyper-V en exploitant la vulnérabilité CVE-2024-40766, une vulnérabilité SonicWall ».

Toujours selon l’agence américaine, à « fin septembre 2025, le ransomware Akira avait rapporté environ 244,17 millions de dollars (USD) en rançons ».

Les cibles préférées des acteurs associés à Akira ? Les petites et moyennes entreprises, indique la Cisa, tout en précisant qu’ils « ont également touché des organisations plus importantes dans divers secteurs, avec une préférence notable pour les organisations des secteurs de la fabrication, de l'éducation, des technologies de l'information, des soins de santé et de la santé publique, des services financiers, ainsi que de l'alimentation et de l'agriculture ».