Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware.
🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024.
🧰 TTPs clés observées (MITRE ATT&CK v18):
- Accès initial: VPN sans MFA, exploitation de CVE Cisco (CVE-2020-3259, CVE-2023-20269, CVE-2020-3580), SonicWall CVE-2024-40766, Veeam CVE-2023-27532 / CVE-2024-40711, abus d’identifiants, spearphishing, bruteforce/password spraying (SharpDomainSpray), SSH via routeur.
- Exécution et persistance: Scripts VB et PowerShell, création de comptes locaux/domaines (ex: itadm), outils de support à distance (AnyDesk, LogMeIn), Impacket (wmiexec.py).
- Élévation de privilèges et évasion: BYOVD (POORTRY/STONESTOP), exploitation Veeam (CVE-2024-40711), désinstallation d’EDR, PowerTool contre le driver Zemana, modification ACLs (icacls), ouverture de ports via allssh.
- Mouvement latéral et C2: RDP/SSH/MobaXterm, Ngrok et Cloudflare Tunnel pour tunnel chiffré et persistance, Cobalt Strike, SystemBC.
- Collecte, exfiltration et impact: WinRAR/7-zip (compression), WinSCP/RClone/FileZilla/Mega (exfiltration), chiffrage hybride ChaCha20 + RSA, extensions .akira / .powerranges / .akiranew / .aki, suppression VSS (vssadmin, WMI), notes fn.txt et akira_readme.txt.
📌 IOCs et artefacts notables:
- Extensions chiffrées: .akira, .powerranges, .akiranew, .aki; notes: fn.txt, akira_readme.txt.
- Fichiers/échantillons (exemples): w.exe, win_locker.exe, akira.exe, Megazord, Akira_v2; archives et scripts: 123.zip, all.bat, start.bat, 1.bat, locker.exe; backdoor s64.dll; VBScript qKtul.vbs.
- Hashes (extraits, SHA-256):
- Akira_v2: 0ee1d284ed663073872012c7bde7fac5ca1121403f1a5d2d5411317df282796c
- Megazord: 2f629395fdfa11e713ea8bf11d40f6f240acf2f5fcf9a2ac50b6f7fbc7521c83
- w.exe (plusieurs variantes listées dans l’avis)
- Commandes de découverte/credentials:
- nltest /dclist: et nltest /DOMAIN_TRUSTS; net group “Domain admins” /dom; tasklist
- Dump LSASS: rundll32 comsvcs.dll, MiniDump ((Get-Process lsass).Id) C:\windows\temp\lsass.dmp full
- Suppression VSS: PowerShell Get-WmiObject Win32_Shadowcopy | Remove-WmiObject
- Accès navigateurs: esentutl.exe sur profils Firefox/Chrome
- Outils fréquemment observés: AnyDesk, LogMeIn, MobaXterm, PowerShell, Impacket, Cobalt Strike, SystemBC, WinRAR, 7-zip, WinSCP, RClone, FileZilla, SoftPerfect/Advanced IP Scanner/NetScan, AdFind, LaZagne, Mimikatz, Ngrok, CLOUDFLARED.
🛡️ Mesures mises en avant par l’avis:
- Patcher en priorité les vulnérabilités exploitées connues; activer/faire appliquer une MFA résistante au phishing.
- Sauvegardes régulières hors ligne, tests de restauration; segmentation réseau; EDR/AV à jour; filtrage des services distants.
- Gestion des accès selon le moindre privilège, verrouillage après échecs, mots de passe longs, comptes administrateurs JIT.
Type et objectif: Il s’agit d’une alerte de sécurité #StopRansomware destinée à diffuser des TTPs/IOCs récents d’Akira et à fournir des informations de contexte et de mitigation aux défenseurs.
🔗 Source originale : https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a?utm_source=infosec-mashup.santolaria.net&utm_medium=newsletter&utm_campaign=infosec-mashup-46-2025