Un groupe qui est resté dans l’ombre des géants des attaques de ransomware, mais qui s’est révélé être un attaquant bien structuré et précis, le ransomware Akira.
Le groupe a été repéré pour la première fois en mars 2023 et, depuis lors, il n’a cessé d’attaquer, mais contrairement aux grands ransomwares, Akira a concentré ses attaques sur des petites et moyennes entreprises, principalement situées en France, mais les plus grandes entreprises qu’il a attaquées sont basées aux États-Unis.
Le groupe a renforcé ses attaques en exploitant les vulnérabilités du VPN de Cisco, ce qui lui a permis d’accéder au réseau interne de l’entreprise et de se déplacer latéralement dans le système, en cartographiant les fichiers à crypter.
Après avoir identifié l’exploitation de vulnérabilités dans son VPN, Cisco a publié une mise à jour et a informé ses utilisateurs de la vulnérabilité. Ensuite, le groupe a mis à jour son ransomware et a ajouté un chiffreur Linux pour cibler les machines virtuelles VMware ESXi, ce qui montre une nette évolution d’Akira.
Le groupe utilise la stratégie RaaS (Ransomware as a Service), cette tactique consiste à vendre le malware à des petits groupes ou à des utilisateurs malveillants, le groupe maintient certaines règles pour cibler ses affiliés. Cette tactique est utilisée par de nombreux groupes, ce qui profite à leur croissance et à leur réputation.
Akira utilise l’algorithme de cryptage ChaCha20, qui génère une clé de décryptage des fichiers, lesquels sont ensuite cryptés par l’algorithme RSA. Le groupe utilise donc deux couches de cryptage. Les fichiers cryptés portent l’extension .akira.
Outre le chiffrement des données, le groupe extrait des fichiers sensibles pour la victime et fixe une date pour le paiement de la rançon ; si le paiement n’est pas effectué à la date fixée, les fichiers volés sont libérés.
Mais même si toutes ces pressions incitent à payer la rançon, il n’est en aucun cas recommandé de le faire. Il n’y a aucune garantie que la clé de décryptage sera livrée après le paiement.
Cherchez donc d’autres moyens de récupérer vos données cryptées, comme les sauvegardes si elles n’ont pas été cryptées non plus. Mais si la restauration de vos données par le biais de sauvegardes n’est pas possible, demandez l’aide de professionnels de la récupération de données qui peuvent décrypter le ransomware Akira, tels que Digital Recovery. Ils pourront vous aider à décrypter les fichiers chiffrés.
Déchiffrer Ransomware Akira
Digital Recovery dispose de technologies exclusives pour décrypter le ransomware Akira. Nous disposons d’une grande expertise technique et d’outils de pointe. Nous pouvons décrypter les fichiers dans les bases de données, les machines virtuelles, les systèmes RAID, les systèmes de stockage et bien plus encore.
Toutes nos solutions sont propriétaires et ont été développées sur la base de la Règlement Général sur la Protection des Données (RGPD), ce qui nous permet d’offrir une sécurité totale des processus.
Un accord de non-divulgation (NDA) est également mis à la disposition de tous les clients, afin de garantir la confidentialité tout au long du processus. Toutefois, si vous souhaitez utiliser un accord de non-divulgation élaboré par votre entreprise, nous sommes disposés à l’analyser avec notre service juridique et à l’approuver.
Nos solutions peuvent être exécutées à distance, ce qui réduit considérablement le temps nécessaire pour décrypter les données. Pour les cas d’extrême nécessité, nous avons développé un mode de récupération d’urgence, dans lequel nos laboratoires fonctionnent avec une disponibilité de 24 heures sur 24 et 7 jours sur 7.
Comptez sur nos solutions et nos professionnels pour décrypter le ransomware Akira.
