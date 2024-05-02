Cet article a été réalisé grâce à la contribution d’Aaron Gdanski.
Les équipes IBM X-Force Incident Response et Threat Intelligence ont enquêté sur plusieurs attaques par rançongiciel Akira depuis l’apparition de ce groupe d’acteurs de la menace en mars 2023. Cet article de blog présente le point de vue unique de X-Force sur Akira, acquis en observant les acteurs de la menace derrière ce rançongiciel, notamment les commandes utilisées pour le déployer, l’exploitation active de CVE-2023-20269 et l’analyse du binaire du rançongiciel.
Le groupe de ransomware Akira a acquis une certaine notoriété dans l’environnement actuel de la cybersécurité, comme en témoigne le récent avis de cybersécurité de la Cybersecurity and Infrastructure Security Agency (CISA) sur le groupe et les centaines de victimes que les acteurs du ransomware Akira ont revendiquées dans de multiples secteurs et régions géographiques.
Les acteurs de la menace Akira utilisent un double schéma d’extorsion impliquant l’exfiltration de données et le chiffrement à l’échelle de l’entreprise. Les affiliés d’Akira exigent le paiement d’une rançon pour empêcher le groupe de publier les fichiers sur leur site onion et de recevoir une clé de déchiffrement pour récupérer les fichiers affectés. Le nom du groupe semble faire allusion à l’intrigue d’un film d’animation de 1988 portant le même nom.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Les acteurs du rançongiciel Akira ont déployé deux sites sur le dark web, tous deux étant des emplacements .onion mentionnés dans la note de rançon laissée par Akira après chaque attaque. Le style des sites rappelle l’ARPANET au début des années 1980.
Le premier site contient des informations générales sur le groupe de rançongiciel, met en avant des documents volés aux victimes, inclut des actualités concernant la divulgation potentielle de données et précise les moyens de contacter le groupe.
Figure 1 : ransomware Akira (.onion) Site de dénonciation publique sur le dark web (Source : Recherche X-Force sur le dark web)
Le second site est utilisé pour les négociations. Pour accéder à ce site, l’utilisateur doit saisir un mot de passe figurant dans la demande de rançon et servant d’identifiant unique.
Figure 2 : Rançongiciel Akira : portail de négociations sur le dark web .onion (source : Recherche X-Force sur le dark web)
Une fois l’accès obtenu, le portail de négociation affiche un message indiquant à la victime que le groupe Akira prépare un échantillon de données volées auprès de l’entreprise victime. Ce processus peut être manuel pour l’acteur de la menace, au vu du temps qu’il semble prendre. Une fois prêt, le groupe joindra un fichier comprenant une liste de dossiers et de fichiers exfiltrés au cours de l’opération, afin de prouver à la victime que les acteurs d’Akira ont volé des fichiers authentiques avant que le chiffrement n’ait lieu.
Figure 3 : Chat d’assistance Akira sur le portail de négociations du dark web (source : Lab539)
Après la divulgation de CVE-2023-20269 début septembre 2023, les acteurs de la menace Akira ont largement exploité cette vulnérabilité dans la nature. CVE-2023-20269 affecte les fonctionnalités de réseau privé virtuel (VPN) de Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD), permettant à des attaquants distants non autorisés de mener des attaques par force brute contre des comptes existants.
Après l’accès initial, le groupe utilise divers outils et logiciels malveillants pour la reconnaissance, l’exfiltration des données, le mouvement latéral, ainsi que des scripts spécialement conçus pour diffuser le binaire du rançongiciel sur le réseau.
Faites défiler pour voir le tableau complet
Figure 4 : Suite d’outils utilisés par les acteurs du rançongiciel Akira (source : X-Force)
Contrairement à certaines familles de rançongiciels dotées de modules comportementaux pour une propagation ou une réplication sans interaction humaine, à l’instar des vers, le rançongiciel Akira requiert une procédure active pour propager l’infection au sein des réseaux. Les options courantes sont l’utilisation de politiques de contrôleur de domaine, si l’acteur de la menace a atteint ce niveau d’accès, ou l’utilisation de fonctions intégrées dans le binaire Akira déclenchées par des scripts batch ou bash.
X-Force a observé que les acteurs du rançongiciel Akira utilisaient des scripts batch présentant le schéma suivant après avoir mené à bien leur activité de reconnaissance :
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Le binaire du rançongiciel Akira crée un fichier texte situé dans le répertoire actuel, où l’exécution a eu lieu.
IBM X-Force a analysé les binaires Windows et Linux à la recherche du rançongiciel Akira. Les versions Linux et Windows d’Akira fonctionnent de manière similaire, la principale différence résidant dans les bibliothèques utilisées pour prendre en charge les opérations cryptographiques. Akira ajoute .akira au nom des fichiers chiffrés et dépose une note de rançon dans chaque répertoire où les fichiers sont chiffrés. La note de rançon contient un lien TOR et un code permettant à la victime de se connecter à un système de chat pour négocier la rançon.
Dans l’un des cas, le fichier du rançongiciel Akira a été compilé à la fin du mois de décembre 2023, plus précisément le 2023-12-28 à 14:49:57 UTC, et a été développé en C++.
Figure 5 : Horodatage de la compilation du rançongiciel Akira - 28 décembre 2023 (source : X-Force)
Lors de l’exécution, Akira Ransomware crée un fichier journal dans le répertoire actuel. Le nom du fichier journal est basé sur l’heure locale actuelle du système, dans le format suivant : « Log-<Jour>-<Mois>-<Année>-<Heure><Minute><Seconde>-.txt ». Si une erreur survient lors du chiffrement d’un fichier, Akira écrit un message d’erreur dans le fichier journal. Les informations supplémentaires concernant les paramètres de ligne de commande du programme sont également consignées dans le fichier journal. Une fois le fichier journal créé, Akira commence à analyser les arguments de la ligne de commande. Les arguments de ligne de commande suivants sont acceptés par la version Windows d’Akira :
Faites défiler pour voir le tableau complet
Figure 6 : Arguments de ligne de commande utilisés par le rançongiciel Akira (source : X-Force)
Une fois les arguments de la ligne de commande analysés, Akira supprime tous les clichés instantanés à l’aide de la commande Powershell suivante : « powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject” ». Cette commande est exécutée à l’aide d’objets COM (’) pour empêcher la détection. De plus, Akira peut tenter de mettre fin aux processus portant les noms suivants :
Faites défiler pour voir le tableau complet
Figure 7 : Processus auxquels le rançongiciel Akira tente de mettre fin (source : X-Force)
Une fois ces processus arrêtés, Akira commence le chiffrement. Les fichiers sont chiffrés avec ChaCha20 ou KCipher-2. Les fichiers de plus de 2 Mo sont chiffrés par blocs, tandis que les fichiers plus petits le sont en fonction du pourcentage de chiffrement indiqué dans les arguments de la ligne de commande. Par défaut, chaque fichier de moins de 2 Mo est chiffré à 50 %. Chaque fichier chiffré porte une extension .akira. Akira ne chiffre pas les fichiers portant les extensions suivantes :
La version Linux d’Akira utilise la même liste de répertoires et d’extensions de fichier que la version Windows pour filtrer les fichiers ciblés, même s’ils se trouvent sur des systèmes Windows et non Linux. Akira ne chiffre aucun fichier contenu dans les dossiers suivants :
Les entreprises peuvent prendre plusieurs mesures pour renforcer leur défense contre le rançongiciel Akira. Bien qu’aucune méthode ne garantisse la prévention des attaques par rançongiciel, y compris par les acteurs de la menace Akira, la mise en œuvre de ces mesures peut compliquer la tâche des attaquants Akira, dont les techniques préférées sont les suivantes :
En plus de ce qui précède, X-Force recommande de tirer parti des mesures proactives et correctives proposées par la CISA dans son rapport du 18 avril.
Pour découvrir comment IBM X-Force peut vous aider dans tous vos projets de cybersécurité, notamment la réponse aux incidents, le renseignement sur les menaces ou les services de sécurité offensive,planifiez un rendez-vous ici.
Si vous rencontrez des problèmes de cybersécurité ou un incident, contactez X-Force pour obtenir de l’aide : assistance téléphonique aux USA 1-888-241-9812 | assistance téléphonique monde (+001) 312-212-8034.
Faites défiler pour voir le tableau complet