Les autorités américaines et européennes actualisent leur alerte sur Akira : près de 250 millions de dollars extorqués, une chaîne d’attaque affûtée et un héritage direct du gang Conti.
Mise à jour des agences américaines et européennes, rançons estimées à près de 250 millions de dollars, exploitation ciblée des VPN et des outils d’accès à distance, liens techniques et financiers avec l’ex-gang Conti : le groupe de ransomware Akira s’impose comme l’une des menaces majeures pour les petites et moyennes organisations depuis 2023. Le nouvel avis conjoint détaille un mode opératoire agressif, capable de voler des données en deux heures seulement après l’intrusion initiale, et vise des secteurs sensibles comme la santé, l’éducation, la fabrication et les technologies. Pour le FBI, la menace n’est plus seulement financière : chaque réseau compromis touche des hôpitaux, des écoles, des entreprises et donc des communautés entières.
Un bilan financier et humain massif
Selon la mise à jour de l’avis publié initialement en avril 2024, le groupe Akira aurait réclamé, fin septembre, plus de 244 millions de dollars de rançons. En retenant un taux indicatif de 1 dollar pour 0,92 euro, ces 244 millions de dollars représentent environ 224,5 millions d’euros. L’estimation globale évoquée, « près de 250 millions de dollars », correspondrait donc à un ordre de grandeur de 230 millions d’euros. Au-delà de la précision des chiffres, l’enjeu est clair : Akira se situe désormais dans la même catégorie que les grands cartels du ransomware des dernières années.
Le FBI insiste sur le fait que le groupe ne se contente pas d’extorquer de l’argent. Brett Leatherman, directeur adjoint de la division cyber, rappelle que le ransomware Akira perturbe « les systèmes qui font fonctionner nos hôpitaux, nos écoles et nos entreprises ». Cette phrase replace la campagne sur le terrain concret : derrière les serveurs chiffrés, il y a des soins retardés, des établissements scolaires paralysés, des chaînes de production interrompues. Leatherman souligne que derrière chaque réseau compromis se trouvent des personnes bien réelles et des communautés entières confrontées à des cybercriminels « sans scrupules ».
L’avis actualisé est le fruit d’un travail conjoint de plusieurs administrations américaines et européennes. Outre le FBI, le département de la Défense et le département de la Santé et des Services sociaux y ont contribué, tout comme Europol et les forces de l’ordre françaises, allemandes et néerlandaises. Ce niveau de coopération illustre l’ampleur de la menace : Akira ne cible pas un seul pays ni un seul secteur, mais s’attaque aux maillons faibles d’infrastructures publiques et privées distribuées dans plusieurs États.
Les secteurs visés forment un panorama typique des priorités des rançonneurs : fabrication, éducation, technologies de l’information et santé. Ces environnements combinent forte dépendance au numérique, contraintes budgétaires et hétérogénéité des systèmes, ce qui en fait des cibles privilégiées. L’avis mentionne aussi un point particulièrement alarmant : dans certains cas, les acteurs utilisant Akira ont pu voler des données seulement deux heures après l’accès initial. Ce délai extrêmement court montre un outillage déjà prêt, des procédures standardisées et une excellente connaissance des environnements à pénétrer.
Plusieurs victimes médiatiques illustrent la diversité des cibles. Akira a revendiqué une cyberattaque contre BK Technologies, entreprise floridienne qui fabrique des radios pour des sociétés de défense américaines et pour des dizaines de services de police et de pompiers. L’entreprise a averti ses investisseurs d’un incident survenu en septembre, au cours duquel des données et des informations sensibles sur des employés actuels et passés ont été dérobées. Le groupe a également revendiqué des attaques contre l’université de Stanford, le zoo de Toronto, une banque publique sud-africaine, le courtier en devises London Capital Group et d’autres organisations.
Cette combinaison d’infrastructures critiques, d’établissements d’enseignement de premier plan, de finance et de services publics rappelle la philosophie des grands groupes de ransomware : frapper là où la pression pour rétablir l’activité est maximale, et où la valeur des données rend le paiement de la rançon plus probable. Pour les services de renseignement et de cybersécurité, Akira se positionne clairement comme un successeur de ces franchises industrielles, avec un ciblage calibré sur les organisations incapables de se permettre des interruptions prolongées.
Un mode opératoire centré sur VPN, accès à distance et évasion
Le nouvel avis consacre une large place au détail du mode opératoire d’Akira. Les agences expliquent que les acteurs malveillants accèdent aux produits VPN, notamment SonicWall, en volant des identifiants de connexion ou en exploitant des vulnérabilités comme CVE-2024-40766. Exploitation de failles connues, récupération d’identifiants, détournement d’outils légitimes : le tableau qui se dessine est celui d’adversaires qui misent sur des points d’entrée largement répandus dans les petites et moyennes structures.
Dans certains cas, l’accès initial se fait via des identifiants VPN compromis, éventuellement achetés auprès de courtiers d’accès initiaux ou récupérés après des attaques par force brute contre des terminaux VPN. Akira n’innove pas sur le principe, mais perfectionne la mécanique : là où de nombreux environnements restent faiblement protégés, l’exploitation d’un simple couple identifiant mot de passe suffit encore à obtenir un pied dans le réseau. Une fois la porte ouverte, la vitesse d’escalade observée – données exfiltrées en deux heures dans certains cas – illustre des playbooks déjà rodés.
Les acteurs liés à Akira ont également recours aux techniques de pulvérisation de mots de passe, en utilisant des outils comme SharpDomainSpray pour obtenir des identifiants de comptes. En pratique, cela signifie qu’une fois un point d’appui initial trouvé, les attaquants tentent des combinaisons de mots de passe courants ou dérivés sur de nombreux comptes à la fois, tout en cherchant à rester sous les radars des systèmes de détection. Cette approche complète les identifiants achetés ou volés et accroît rapidement la surface de compromission potentielle à l’intérieur des domaines ciblés.
Le maintien de l’accès passe ensuite par l’abus d’outils d’administration à distance largement deployés, comme AnyDesk et LogMeIn. En se fondant dans le trafic et les pratiques habituelles des équipes informatiques, les acteurs d’Akira profitent du fait que ces outils sont, par nature, légitimes et nécessaires au support utilisateur. Aux yeux des analystes, ce camouflage dans l’activité normale complique la détection : sans surveillance fine des usages et des horaires, une session malveillante peut ressembler à un simple dépannage.
Dans certains incidents, les équipes d’intervention ont constaté qu’Akira désinstallait purement et simplement les systèmes de détection et de réponse (EDR). Cette étape traduit une bonne connaissance des outils de défense en place et une volonté de neutraliser les capacités de journalisation et de réponse automatisée avant de chiffrer ou d’exfiltrer massivement des données. En pratique, une fois l’EDR désactivé, les marges de manœuvre des équipes internes sont réduites et la reconstruction de la chronologie de l’attaque devient beaucoup plus difficile.
L’avis renvoie aussi à des recommandations spécifiques pour les écoles primaires et secondaires. Ce ciblage des établissements d’enseignement, conjugué aux attaques contre des hôpitaux et des fabricants de matériel pour forces de l’ordre, illustre une logique où les rançonneurs misent sur la pression sociale et politique. Quand un district scolaire, une structure de santé ou un fournisseur de radios pour police et pompiers est paralysé, la question de payer ou non la rançon se pose dans un contexte d’urgence et d’émotion, ce qui renforce le pouvoir de nuisance du groupe.
Selon les chiffres du Service de Veille ZATAZ, de janvier 2025 à novembre 2025 Akira a documenté 653 cyber attaques, complétée par 39 malveillances en décembre 2024, soit 692 prises d’otages en 1 an. Les valeurs mensuelles oscillent fortement, entre un minimum de 34 en mai 2025 et un pic de 89 en novembre 2025. On observe ainsi une année marquée par des variations importantes, avec une nette montée en fin d’année 2025 : 71 en octobre ; 89 en novembre.
Conti en héritage et équation géopolitique
L’avis actualisé souligne qu’Akira présente des liens avec l’ancien groupe de ransomware Conti, dissous au début de l’invasion de l’Ukraine par la Russie après une série d’attaques médiatisées. Des chercheurs avaient déjà relevé de fortes similitudes entre les souches de ransomware Akira et Conti. L’analyse de la blockchain a mis en évidence plusieurs transactions de rançon vers des portefeuilles associés à l’équipe dirigeante de Conti.
Interrogé sur ces liens, Nick Andersen, directeur adjoint exécutif de la division cybersécurité de la CISA, confirme qu’Akira « pourrait avoir des liens avec le groupe de ransomware Conti, aujourd’hui disparu », tout en refusant d’indiquer si Akira a des liens avec le gouvernement russe. De son côté, Brett Leatherman rappelle que, même en l’absence de lien direct établi avec l’État russe, les autorités savent que Conti a opéré à un moment en Russie et que certains acteurs actuels pourraient être issus de ce groupe.
Les responsables insistent cependant sur un point : comme pour tout groupe fonctionnant avec un système d’affiliation, les acteurs peuvent se trouver partout dans le monde. Leatherman explique ainsi qu’il est probable que les autorités aient affaire à des acteurs disséminés dans plusieurs pays. Cette dispersion géographique complique la réponse juridique classique, mais elle ne dilue pas l’héritage technique et financier. Les flux vers des portefeuilles liés à Conti suggèrent une continuité de savoir-faire, de capital et de réseaux entre anciens et nouveaux acteurs.
Cet héritage se manifeste aussi dans le choix des cibles. Conti s’était illustré par des attaques à fort impact contre des services critiques et des grandes organisations, jouant sur la pression pour forcer le paiement. Akira reprend ce schéma en visant une entreprise fournissant des radios à des entités de défense, des services de police et de pompiers, des universités prestigieuses, un zoo emblématique, une banque publique et un courtier en devises. Cette diversité renvoie à une stratégie assumée : frapper des organisations dont l’interruption affecte immédiatement le fonctionnement de services essentiels ou l’image publique.
Face à cette menace, Nick Andersen rappelle que « la menace des rançongiciels provenant de groupes comme Akira est réelle » et que les organisations doivent la prendre au sérieux en mettant rapidement en œuvre des mesures d’atténuation. L’avis conjoint, en détaillant les vecteurs d’intrusion privilégiés, fournit une feuille de route implicite : sécuriser les accès VPN, durcir l’utilisation des outils d’accès à distance, surveiller la désinstallation ou la dégradation des EDR, et préparer des plans de réponse adaptés aux exfiltrations rapides de données.
Sur le plan du renseignement, Akira devient un cas d’école. La convergence de plusieurs signaux : code proche de Conti, flux financiers vers des portefeuilles connus, choix de cibles stratégiques dans la santé, l’éducation et la défense, exploitation agressive des VPN, dessine le portrait d’un écosystème qui recycle les anciens cadres de la cybercriminalité organisée pour les adapter à un paysage géopolitique post-Conti. Les autorités évitent soigneusement d’attribuer la menace à un État, mais la géographie des opérations et des héritages techniques reste au cœur de leurs préoccupations.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
