Ransomware : Akira rentre de vacances avec des surprises

Le groupe vient de relancer son site vitrine et d’épingler sa première nouvelle victime depuis un mois. Mais son interface de négociation reste inactive, suggérant qu’Akira n’a pas encore repris ses activités.

C’est inhabituel, mais le groupe de ransomware Akira semble bien s’être octroyé un mois de congés cet automne. 

Son site vitrine est ainsi resté fermé plusieurs semaines durant : le groupe a revendiqué 11 victimes début octobre avant de devenir silencieux.

Plus surprenant encore, son site dédié aux négociations a lui également été fermé durant cette période. Ce n’est que le 25 octobre qu’il est devenu de nouveau accessible. Et encore, partiellement : à ce jour, il est encore impossible d’y ouvrir une session pour négocier avec Akira. Et pour un groupe de cybercriminels pratiquant la double extorsion, l’impossibilité de négocier suggère un arrêt, au moins temporaire, des activités. 

Le site vitrine de groupe vient toutefois de rouvrir, avec la revendication d’une première nouvelle victime ce 11 novembre, puis d’une seconde aujourd’hui. Mais ce n’est pas tout. 

Ainsi, Akira distribue les données de 9 victimes qui n’ont jamais été précédemment revendiquées par le groupe. 

Ces données sont proposées au téléchargement via BitTorrent. Le plus ancien fichier torrent correspondant a été créé le 6 octobre dernier. Mais c’est une exception : la majorité de ces fichiers torrent a été créée les 6 et 7 novembre. Le dernier l’a été le 11 novembre. Des dates qui confortent un peu plus la suspicion d’une véritable pause des activités d’Akira pendant un mois. 

L’une des victimes concernées par ces divulgations de données est l’opérateur équatorien Xtrim, qui a fait publiquement état, durant l’été, d’une cyberattaque survenue le 3 août. 

Pour quatre autres des victimes, Onyphe a trace de systèmes VPN SSL SonicWall dont il a été établi qu’Akira en exploitait la vulnérabilité CVE-2024-40766 pour conduire ses attaques. 

Cette vulnérabilité a été révélée publiquement le 22 août dernier. Arctic Wolf a donné l’alerte sur son exploitation par Akira le 6 septembre. Au moins l’une des quatre victimes disposant d’un équipement SonicWall semble avoir été attaquée à la toute fin du mois d’août dernier.

Pour approfondir sur Menaces, Ransomwares, DDoS