La nouvelle opération de rançongiciel Akira a lentement dressé une liste de victimes alors qu’elles pénètrent dans les réseaux d’entreprise du monde entier, cryptent des fichiers, puis exigent des rançons d’un million de dollars.
Lancé en mars 2023, Akira affirme avoir déjà mené des attaques contre seize entreprises. Ces entreprises appartiennent à divers secteurs, notamment l’éducation, la finance, l’immobilier, la fabrication et le conseil.
Alors qu’un autre ransomware nommé Akira a été publié en 2017, on ne pense pas que ces opérations soient liées.
Le chiffreur Akira
Un échantillon du ransomware Akira a été découvert par MalwareHunterTeam, qui a partagé un échantillon avec Breachtrace afin que nous puissions l’analyser.
Une fois exécuté, Akira supprimera les clichés instantanés de volumes Windows sur l’appareil en exécutant la commande PowerShell suivante :
Le rançongiciel procédera ensuite au chiffrement des fichiers contenant les extensions de fichier suivantes :
Lors du cryptage, le crypteur ignorera les fichiers trouvés dans les dossiers Corbeille, Informations sur le volume système, Démarrage, ProgramData et Windows. Cela évitera également de crypter les fichiers système Windows avec les extensions de fichier .exe, .lnk, .dll, .msi et .sys.
Lors du cryptage des fichiers, le ransomware crypte les fichiers et ajoute l’extension .akira qui sera ajoutée au nom du fichier.
Par exemple, un fichier nommé 1.doc serait chiffré et renommé en 1.doc.akira, comme indiqué dans le dossier chiffré ci-dessous.
Akira utilise également l’API Windows Restart Manager pour fermer les processus ou arrêter les services Windows qui peuvent garder un fichier ouvert et empêcher le chiffrement.
Chaque dossier informatique contiendra une note de rançon nommée akira_readme.txt qui comprend des informations sur ce qui est arrivé aux fichiers d’une victime et des liens vers le site de fuite de données et le site de négociation d’Akira.
« En ce qui concerne vos données, si nous ne parvenons pas à nous mettre d’accord, nous essaierons de vendre des informations personnelles/secrets commerciaux/bases de données/codes sources – en général, tout ce qui a une valeur sur le marché noir – à plusieurs acteurs de la menace à la fois. Ensuite, tous cela sera publié sur notre blog », menace la demande de rançon d’Akira.
Chaque victime possède un mot de passe de négociation unique qui est saisi sur le site Tor de l’auteur de la menace. Contrairement à de nombreuses autres opérations de ransomware, ce site de négociation comprend simplement un système de chat que la victime peut utiliser pour négocier avec le gang de ransomware.
Site de fuite de données utilisé pour extorquer les victimes
Comme d’autres opérations de ransomware, Akira violera un réseau d’entreprise et se propagera latéralement à d’autres appareils. Une fois que les acteurs de la menace auront obtenu les informations d’identification d’administrateur de domaine Windows, ils déploieront le ransomware sur tout le réseau.
Cependant, avant de chiffrer les fichiers, les acteurs de la menace voleront les données de l’entreprise pour tirer parti de leurs tentatives d’extorsion, avertissant les victimes qu’elles seront rendues publiques si une rançon n’est pas payée.
Le gang Akira a déployé beaucoup d’efforts sur son site de fuite de données, lui donnant un look rétro où les visiteurs peuvent y naviguer en tapant des commandes, comme indiqué ci-dessous.
Au moment d’écrire ces lignes, Akira a divulgué les données de quatre victimes sur son site de fuite de données, la taille des données divulguées allant de 5,9 Go pour une entreprise à 259 Go pour une autre.
D’après les négociations vues par Breachtrace, le gang des rançongiciels exige des rançons allant de 200 000 $ à des millions de dollars.
Ils sont également disposés à réduire les demandes de rançon pour les entreprises qui n’ont pas besoin d’un décrypteur et qui souhaitent simplement empêcher la fuite de données volées.
Le ransomware est actuellement analysé pour ses faiblesses, et Breachtrace ne conseille pas aux victimes de payer la rançon jusqu’à ce qu’il soit déterminé si un décrypteur gratuit peut récupérer des fichiers gratuitement.