Ruag MRO paie une rançon au groupe Akira après une cyberattaque sur sa filiale américaine

🗞️ Contexte

Source : Blick.ch (ATS – Agence télégraphique suisse), publié le 21 juin 2026. L’article rapporte les suites institutionnelles et politiques d’une cyberattaque par ransomware ayant ciblé la filiale américaine de Ruag, entreprise d’armement appartenant à la Confédération suisse.

🎯 Incident

Le groupe cybercriminel Akira a attaqué les systèmes informatiques de Ruag LLC, filiale basée en Virginie (États-Unis), à l’automne 2025. L’attaque a impliqué une double extorsion : vol de données, chiffrement, puis menace de publication sur le dark web en échange d’une rançon.

• Données volées puis chiffrées
• Rançon payée : qualifiée de « petit montant » par le président du conseil d’administration Jürg Rötheli (montant exact non communiqué)
• Résultat : récupération de l’intégralité des données selon Ruag MRO
• La filiale concernée emploie 8 personnes et sert de bureau de liaison avec des partenaires américains (pièces de rechange et maintenance d’avions de combat)
• Les systèmes informatiques de Ruag LLC étaient autonomes, limitant l’impact sur le reste du groupe

🏛️ Réponse institutionnelle

Le Conseil fédéral suisse a confirmé qu’une enquête est menée par le Département fédéral de la défense (DDPS), avec le soutien de Ruag MRO. Les résultats seront communiqués aux commissions parlementaires de surveillance. Le Conseil fédéral réaffirme la recommandation de l’Office fédéral de la cybersécurité (OFCS) de ne pas payer de rançon.

🕵️ Profil du groupe Akira

• Apparu en mars 2023
• Pratique la double extorsion (vol + chiffrement + menace de publication)
• Paiements demandés en cryptomonnaies (souvent Bitcoin)
• Infrastructure répartie dans plusieurs pays
• Environ 200 entreprises suisses déjà touchées selon les autorités

📌 Type d’article

Article de presse généraliste relatant un incident de ransomware confirmé impliquant une entité publique suisse, avec focus sur les suites politiques et institutionnelles du paiement de rançon.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Akira (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1486 — Data Encrypted for Impact (Impact)
• T1657 — Financial Theft (Impact)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1537 — Transfer Data to Cloud Account (Exfiltration)

Malware / Outils

• Akira ransomware (ransomware)

🟡 Indice de vérification factuelle : 35/100 (moyenne)

• ⬜ blick.ch — source non référencée (0pts)
• ✅ 3592 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : Akira (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.blick.ch/fr/suisse/suisse-la-rancon-payee-par-ruag-a-des-hackers-secoue-berne-id22032092.html