Le ransomware Akira est une menace majeure qui cible entreprises et infrastructures critiques. Cet article explique son fonctionnement ses techniques d’attaque et propose des stratégies concrètes pour prévenir les infections et protéger efficacement vos données sensibles.
Depuis son apparition en mars 2023, le ransomware Akira ne fait que monter en puissance. Au départ discret, il est aujourd’hui devenu une menace sérieuse pour les entreprises de toutes tailles. Ce qui le rend dangereux, ce n’est pas seulement sa capacité à bloquer des fichiers, mais aussi sa stratégie bien rodée pour forcer les victimes à payer.
On parle ici d’un rançongiciel moderne, organisé comme une vraie entreprise criminelle. Il attaque vite, cible intelligemment, et maximise ses gains.
📖 Qu'est-ce qu'un « rançongiciel » (ransomware) ?
Un rançongiciel est un programme malveillant qui bloque vos fichiers en les chiffrant. Impossible d’y accéder sans une clé. Les hackers demandent ensuite une rançon, souvent en cryptomonnaie. Avec Akira, c’est encore pire : vos données sont aussi volées avant d’être bloquées.
Akira ne sort pas de nulle part. Il s’inscrit dans la continuité de groupes très connus dans le monde du cybercrime. Et tout pointe vers un lien direct avec l’ancien gang Conti. Avant d'aller plus loin, il faudrait comprendre les termes « Conti » et « Raas ».
Qu'est-ce que le « Conti » ?
📖 Conti était un groupe de ransomware extrêmement actif entre 2020 et 2022. Après des fuites internes, ses membres se sont dispersés… mais beaucoup auraient rejoint ou recréé des projets comme Akira.
Qu'est-ce que « RaaS » (Ransomware-as-a-Service) ?
📖 Akira fonctionne comme un service. Les développeurs créent le virus, puis le louent à d’autres hackers. Ces derniers lancent les attaques et partagent les gains. Résultat : plus d’attaques, plus rapides, plus nombreuses.
Plusieurs indices concrets permettent aujourd’hui de faire le lien entre l’ancien groupe Conti et le ransomware Akira. En analysant son fonctionnement et ses outils, les experts en cybersécurité ont identifié des similitudes techniques et stratégiques qui ne laissent que peu de doute sur cette filiation.
Akira évolue aussi techniquement. Il est passé du langage C++ à Rust (version « Megazord »), ce qui le rend plus rapide, plus stable et surtout plus difficile à analyser. Rust rend les programmes plus complexes à décortiquer. Pour les experts en cybersécurité, cela complique la création d’outils gratuits pour récupérer les fichiers.
Akira ne force pas une porte fermée. Il entre là où les systèmes sont mal protégés. Et souvent, ça passe par des oublis simples mais critiques.
Pour comprendre comment Akira arrive à pénétrer dans un système, il faut regarder les points d’entrée qu’il privilégie. Il ne cherche pas forcément à casser des protections complexes. Il exploite surtout des failles connues et des configurations mal sécurisées. Ces erreurs sont très courantes en entreprise, ce qui lui permet d’entrer rapidement et sans bruit. Par exemple :
📖 Pourquoi cibler les sauvegardes ?
Parce que sans sauvegarde, la victime n’a plus de solution. Akira détruit cette porte de sortie pour forcer le paiement.
Une fois dans le système, Akira agit discrètement. Il ne se précipite pas. Il explore, récupère des accès et prépare le terrain.
📖 Living off the land (LotL)
C’est une technique qui consiste à utiliser des outils déjà présents sur le système. Résultat : moins de détection par les antivirus.
Akira vise désormais des environnements complexes.
Il supprime aussi les sauvegardes locales en effaçant les VSS. C’est une fonction Windows qui garde des copies de vos fichiers. Akira les supprime pour empêcher toute restauration rapide.
Une fois que Akira a réussi à s’infiltrer et à se déplacer dans le système, l’attaque ne s’arrête pas au simple chiffrement. Avant même de bloquer les fichiers, les hackers prennent le temps de récupérer un maximum de données sensibles. Cette étape est stratégique, car elle leur donne un levier de pression supplémentaire sur la victime.
Concrètement, ils utilisent des outils tout à fait légitimes comme FileZilla, RClone ou WinSCP pour transférer discrètement des fichiers vers leurs propres serveurs. À partir du moment où les données sont copiées en plus d’être chiffrées, l’attaque change de nature. On ne parle plus seulement d’un blocage technique, mais d’un chantage basé sur deux leviers en même temps, ce qu'on appelle une double extorsion.
📖 Double extorsion
Cette double menace change complètement la situation. Avant, une sauvegarde suffisait pour s’en sortir. Aujourd’hui, même avec des sauvegardes, le risque reste présent. Les entreprises doivent aussi gérer une fuite potentielle de données sensibles comme les informations clients, les contrats ou les données internes.
La pression devient alors beaucoup plus forte. Les cybercriminels jouent sur la peur de la réputation et des conséquences légales pour pousser à payer rapidement. La note de rançon (akira_readme.txt) est très explicite : elle donne des instructions précises et menace directement de publier les données si aucun paiement n’est effectué.
C’est là qu’intervient le dark web. Les groupes comme Akira y publient parfois des échantillons de données ou les noms des entreprises touchées. Cela sert de preuve et de levier psychologique pour forcer le paiement.
📖 Dark web – définition simple
C’est une partie cachée d’Internet, inaccessible via les moteurs de recherche classiques. Les hackers y publient les données volées, affichent les noms des victimes et utilisent ces plateformes comme vitrines pour accentuer la pression.
Il existe des actions simples et efficaces pour réduire fortement les risques. Et ça repose surtout sur de bonnes pratiques.
| Action | Pourquoi ça bloque Akira |
|---|---|
| Activer le MFA sur VPN, RDP et emails | Akira exploite des mots de passe volés. Avec une double authentification, ces accès deviennent inutilisables. |
| Faire les mises à jour (patching) en priorité sur VPN Cisco/SonicWall et Veeam | Les failles connues sont les portes d’entrée principales. Les corriger ferme ces accès. |
| Règle de sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 copie hors ligne ou immuable | Même si Akira détruit les sauvegardes locales, une copie hors ligne reste intacte et permet de restaurer sans payer. |
📖 MFA : C’est une double sécurité : mot de passe + code. Même si le mot de passe est volé, l’accès est bloqué.
Pour aller plus loin, il ne suffit pas d’avoir de bonnes habitudes. Il faut aussi un outil fiable qui protège vos données automatiquement. AOMEI Backupper fait partie des solutions les plus efficaces pour anticiper une attaque comme Akira.
Ce logiciel ne se contente pas de sauvegarder. Il crée un environnement sécurisé où vos données restent accessibles, même en cas d’attaque. Il intègre aussi des fonctions de protection active contre les modifications suspectes.
Un logiciel de sauvegarde Windows fiable pour protéger votre système, vos disques et vos fichiers grâce à des fonctionnalités de sauvegarde, de restauration et de clonage.
1. Installez et lancez AOMEI Backupper sur votre ordinateur puis accédez à l’interface principale pour voir toutes les options disponibles.
2. Allez dans Outils > Protection contre les ransomwares et activez la protection anti-ransomware pour surveiller les activités suspectes en temps réel.
3. Vous pouvez définir les types de fichiers à protéger ou les fichiers et dossiers spécifiques.
4. Il vous permet aussi d'ajouter les applications suspect dans une liste de blocage.
Le ransomware Akira montre clairement l’évolution des cyberattaques : plus organisées, plus agressives et surtout plus difficiles à contrer une fois lancées. Attendre d’être attaqué n’est plus une option.
La clé, c’est l’anticipation. En combinant de bonnes pratiques (mises à jour, MFA, sauvegardes) et un outil fiable comme AOMEI Backupper, vous réduisez drastiquement les risques. Mieux vaut prévenir aujourd’hui que payer demain.