🔍 Contexte

Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière.

🎯 Profil du groupe Akira

  • Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt
  • A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025
  • Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie
  • Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement

⚡ Rapidité d’exécution

Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois.

🔓 Vecteurs d’accès initial

  • CVE-2024-40766 : accès non authentifié à l’interface de gestion SonicWall et aux sauvegardes de configuration
  • CVE-2023-27532 : exploitation des serveurs Veeam Backup & Replication
  • Appareils Cisco ASA/VPN
  • Brute force de l’API MySonicWall Cloud Backup pour voler des fichiers .EXP contenant des credentials
  • Craquage hors ligne des credentials chiffrés extraits des fichiers de configuration
  • Contournement du MFA via des codes de récupération en clair trouvés dans l’environnement
  • Outils : SharpDomainSpray (password spraying), brokers d’accès initiaux, spear phishing

🔄 Chaîne d’infection observée

  1. Exploitation de CVE-2024-40766 pour accéder à l’interface SonicWall
  2. Brute force de l’API MySonicWall pour voler les fichiers .EXP
  3. Craquage hors ligne des credentials chiffrés
  4. Utilisation de credentials migrés non réinitialisés (Gen6/Gen7)
  5. Contournement MFA via codes de récupération en clair
  6. Authentification aux portails SonicWall SSLVPN et déploiement du ransomware

🛠️ Outils post-exploitation

  • Impacket : découverte SMB
  • WinRAR : staging de données
  • AnyDesk / Atera : persistance
  • WinSCP / Rclone / FileZilla : exfiltration
  • Ngrok : tunneling C2 chiffré
  • PowerTool : désactivation des logiciels de sécurité via le driver Zemana AntiMalware
  • Mimikatz / Kerberoasting : vol de credentials Active Directory

🦠 Variantes de malware

  • Akira (C++) : variante initiale, extension .akira
  • Megazord (Rust) : introduit en août 2023, extension .powerranges, moins utilisé depuis 2024
  • Akira_v2 : ciblage ESXi, utilisé conjointement avec Megazord puis de manière prédominante
  • Juin 2025 : premier chiffrement de disques VM Nutanix AHV via CVE-2024-40766

📁 Mécanisme de chiffrement et fichiers .arika

Akira utilise un chiffrement intermittent pour les grands fichiers (>2MB ou fichiers VM) :

  • Division du fichier en blocs, chiffrement partiel (configurable, parfois aussi bas que 1% ou 10%)
  • Création de fichiers temporaires .arika (checkpoint) contenant : taille originale, progression du chiffrement, pourcentage configuré, clés chiffrées RSA
  • Ces fichiers permettent la reprise du chiffrement même en cas d’interruption
  • Structure documentée avec offsets précis (état, progression, type de fichier, clés RSA sur 512 bytes)

📊 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Halcyon, visant à documenter les TTPs d’Akira, le fonctionnement interne de son mécanisme de chiffrement et la chaîne d’infection complète à des fins de threat intelligence et de défense.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1021 — Remote Services (Lateral Movement)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1133 — External Remote Services (Initial Access)
  • T1505 — Server Software Component (Persistence)
  • T1074 — Data Staged (Collection)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)

IOC

Malware / Outils

  • Akira (ransomware)
  • Megazord (ransomware)
  • Akira_v2 (ransomware)
  • Impacket (framework)
  • WinRAR (tool)
  • FileZilla (tool)
  • WinSCP (tool)
  • Rclone (tool)
  • Ngrok (tool)
  • PowerTool (tool)
  • SharpDomainSpray (tool)
  • AnyDesk (tool)
  • Atera (tool)
  • Mimikatz (tool)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ halcyon.ai — source non référencée (0pts)
  • ✅ 11955 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 18 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Akira, Conti (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.halcyon.ai/ransomware-research-reports/akira-ransomware-attacks-in-under-an-hour