Ruag paie une rançon au groupe Akira après une cyberattaque sur sa filiale américaine

🗓️ Contexte

Source : Blick.ch (ATS), publié le 6 juin 2026. L’article rapporte la confirmation publique par le président du conseil d’administration de Ruag, Jürg Rötheli, du paiement d’une rançon à la suite d’une cyberattaque survenue en automne 2025.

🎯 Victime et périmètre de l’attaque

• Victime principale : Ruag LLC, filiale américaine de Ruag (entreprise d’armement appartenant à la Confédération suisse), basée en Virginie (USA)
• La filiale emploie 8 personnes et sert de bureau de liaison avec des partenaires américains (pièces de rechange pour avions de combat, maintenance)
• Les systèmes informatiques de la filiale sont autonomes, ce qui a limité l’impact sur le reste du groupe

🦠 Acteur de la menace et mode opératoire

Le groupe Akira, apparu en mars 2023, est responsable de l’attaque. Il pratique la double extorsion :

1. Vol de données (exfiltration)
2. Chiffrement des données
3. Menace de publication sur le dark web en l’absence de paiement de rançon

Les paiements sont généralement demandés en cryptomonnaies (Bitcoin). Le groupe utilise une infrastructure répartie dans plusieurs pays.

💰 Paiement de la rançon

• Ruag a confirmé avoir payé un «petit montant» (somme précise non communiquée)
• La décision a été prise après analyses internes et avec l’appui d’experts juridiques américains
• Le Département fédéral de la défense (DDPS) n’avait pas été informé en amont
• L’Office fédéral de la cybersécurité déconseille le paiement de rançons

📊 Contexte plus large

• Environ 200 entreprises suisses auraient été touchées par des attaques attribuées à Akira selon les autorités suisses
• Akira est actif à l’échelle internationale

📰 Type d’article

Article de presse généraliste relatant un incident confirmé publiquement, visant à informer sur le paiement d’une rançon par une entreprise publique suisse et ses implications institutionnelles.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Akira (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1486 — Data Encrypted for Impact (Impact)
• T1657 — Financial Theft (Impact)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1537 — Transfer Data to Cloud Account (Exfiltration)

Malware / Outils

• Akira (ransomware)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ blick.ch — source non référencée (0pts)
• ✅ 3214 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Akira (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.blick.ch/fr/suisse/victime-dune-cyberattaque-ruag-a-paye-une-rancon-pour-recuperer-ses-donnees-id22007428.html