#StopRansomware : Akira Ransomware
Cette Cybersecurity Advisory traite du ransomware Akira, en exposant ses tactiques, techniques et procédures, ainsi que les indicateurs de compromis, pour aider les organisations à renforcer leurs défenses. Depuis son apparition en 2023, Akira a ciblé divers secteurs dans le monde entier, affectant plus de 250 organisations et accumulant une somme estimée à 42 millions de dollars en paiements de rançon. Le ransomware exploite les vulnérabilités dans les services VPN, RDP, la phishing ciblée et les informations d'identification compromises pour accéder initialement au système. Après l'infiltration, les acteurs d'Akira établissent une persistance, augmentent leurs privilèges et mènent des recherches au sein du réseau compromis. Ils emploient des techniques d'évasion de défense, y compris la désactivation des logiciels de sécurité, et utilisent un modèle d'extorsion double, exfiltrant des données avant de crypter les systèmes. L'exfiltration des données est réalisée à l'aide d'outils tels que FileZilla, WinRAR et RClone, avec des canaux de commande et de contrôle établis via AnyDesk, MobaXterm et des outils similaires. La cryptographie est réalisée en utilisant une méthode hybride robuste qui combine les algorithmes ChaCha20 et RSA, rendant difficile la récupération du système. Les victimes reçoivent des notes de rançon avec des instructions pour contacter les acteurs menaçants, avec des paiements demandés en Bitcoin. L'avis détaille également les outils utilisés, les indicateurs de compromis et deux variants distincts d'Akira, y compris la nouvelle variante Akira_v2, mettant en évidence ses fonctionnalités améliorées et son évolution.