Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées.

🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés.

🧩 Escalade de privilèges, persistance et C2: L’escalade passe fréquemment par des failles Veeam (CVE‑2023‑27532, CVE‑2024‑40711) et l’extraction de secrets (script « Veeam‑Get‑Creds.ps1 » ou VeeamHax.exe) donnant accès à ESXi/Hyper‑V/NAS et parfois à des comptes Domain Admin. Des techniques comme password spraying, Mimikatz (>12,5%), DCSync, Kerberoasting ou le vol de NTDS.dit sont observées mais moins systématiques. Côté C2/persistance, AnyDesk (43%) domine, suivi d’OpenSSH (18,75%); plus rarement Chrome Remote Desktop, shells inversés sur ESXi, Ligolo‑ng et Cobalt Strike.

🛫 Mouvement latéral, évasion et exfiltration: Le RDP est omniprésent pour la latéralisation (SSH pour ESXi/NAS), avec pass‑the‑hash et parfois la création de VMs attaquantes pour contourner l’EDR. L’évasion inclut la désactivation de Windows Defender (≈48,6%), la désinstallation d’EDR/AV, des exclusions, ou le chiffrement directement au niveau des hyperviseurs. L’exfiltration peut être fulgurante (parfois <3h), via WinSCP (31,25%), FileZilla (18,75%), Rclone (18,75%), Bitvise ou navigateur (easyupload.io), après compression avec WinRAR (>62,5%) ou 7‑Zip.

🔒 Impact et publication: Le chiffrement est systématique (100%), visant backups (QNAP/NAS), ESXi/Hyper‑V, serveurs/PC, selon trois scénarios (chiffrement des disques VM, complet, ou in‑guest/physique). Extensions .akira, note akira_readme.txt, journaux « Log‑DD‑MM‑YYYY‑HH‑MM‑SS.txt », noms de payloads variés (ex. w.exe, akira.exe, lock.exe, esx…). Déploiement possible via GPO et ciblage remote par partage réseau. La fuite est annoncée sur un DLS Tor; les données sont diffusées via magnets/torrents 🧲, rendant la suppression difficile. Des emails de contact depuis Gmail sont vus dans ~18,75% des cas.

Il s’agit d’une analyse de menace fondée sur retours DFIR de ZenSec, visant à documenter les TTPs d’Akira et les tendances 2023–2025.

🧠 TTPs et IOCs détectés

TTP

Accès initial via exploitation de vulnérabilités SSL VPN (CVE-2023-20269, CVE-2020-3259, CVE-2024-40766), absence de MFA, découverte avec Netscan, Advanced Port Scanner, PowerShell, escalade de privilèges via failles Veeam (CVE-2023-27532, CVE-2024-40711), extraction de secrets Veeam, password spraying, Mimikatz, DCSync, Kerberoasting, vol de NTDS.dit, persistance et C2 avec AnyDesk, OpenSSH, Chrome Remote Desktop, shells inversés, Ligolo-ng, Cobalt Strike, mouvement latéral avec RDP, pass-the-hash, création de VMs attaquantes, évasion par désactivation de Windows Defender, désinstallation d’EDR/AV, exfiltration rapide via WinSCP, FileZilla, Rclone, Bitvise, compression avec WinRAR, 7-Zip, chiffrement systématique des backups, ESXi/Hyper-V, serveurs/PC, déploiement via GPO, publication sur DLS Tor, diffusion via magnets/torrents.

IOC

Extensions .akira, note akira_readme.txt, journaux Log-DD-MM-YYYY-HH-MM-SS.txt, noms de payloads (w.exe, akira.exe, lock.exe, esx…), emails de contact depuis Gmail (~18,75%).

🔗 Source originale : https://zensec.co.uk/blog/unmasking-akira-the-ransomware-tactics-you-cant-afford-to-ignore/