Sorti de nulle part ou presque au printemps 2023, le rançongiciel Akira truste les places de choix chez les ransomware. Les victimes, au nombre de 808, se trouvent en particulier aux États-Unis, au Canada, en Allemagne, au Royaume-Uni et au Brésil pour la moitié. Il a depuis plus d’une année gravi des échelons en qualité de Ransomware-as-a-Service (RaaS). Selon Recorded Future, il est l’un des plus actifs et persistants. De très nombreuses victimes dont certaines ne se relèvent pas, et mettent la clé sous la porte.

Depuis son apparition en mars 2023, le ransomware Akira s’est imposé comme une menace de premier plan dans le paysage cybercriminel. Contrairement à son nom évoquant un manga culte et à son interface néo-rétro, Akira n’a rien d’un jeu. Il s’agit d’un ransomware opérant selon le modèle du RaaS : une plateforme mise à disposition de cybercriminels affiliés, qui partagent les rançons avec les développeurs du code malveillant.

Une menace persistante au design trompeur

Akira se distingue par sa stratégie de double extorsion. Ainsi, avant le chiffrement, il exfiltre des données tout en menaçant de les publier si la victime refuse de payer la rançon. Cette méthode décuple la pression psychologique sur les entreprises et organisations ciblées. Des soupçons appuyés notent des liens avec le groupe Conti dissous en 2022. Des migrations d’anciens affidés de BlackBasta provoquent l’explosion de la franchise. Akira présente des similitudes avec le ransomware Conti v2. A minima, les concepteurs d’Akira ont été au moins inspirés par les sources de Conti divulguées.

En juin 2023, Avast Threat Labs indique la liste des exclusions de type de fichier. « Akira ignore les fichiers avec les mêmes extensions que Conti, sauf qu’il y a akira_readme.txt au lieu de R3ADM3.txt. » Sur la liste des exclusions d’annuaires, Akira ignore les mêmes dossiers que Conti. Le 29 juin 2023, un déchiffreur est publié par Avast pour cette version.

Akira exploite des vulnérabilités connues, et notamment CVE-2019-6693, CVE-2022-40684 et notamment la faille CVE-2023-20269 affectant les VPN Cisco ASA, pour s’introduire dans les réseaux. Une fois l’accès obtenu, il utilise des outils légitimes comme AnyDesk pour maintenir un accès distant ou encore WinRAR pour compresser les fichiers volés. (Crédits : capture d’écran/Akira)

La filiation ou paternité relève de l’achat des droits d’exploitations. « Arctic Wolf s’est concentré sur l’analyse de la chaîne de blocs, estimant que dans les trois transactions suspectes qu’il a observées, les utilisateurs de ransomware Akira ont payé plus de 600 000 dollars au total aux adresses affiliées à Conti », explique The Record.

Un arsenal technique affûté

Akira exploite des vulnérabilités connues pour s’introduire dans les réseaux. Une fois l’accès obtenu, il déploie ses tentacules. Ce dernier use d’une méthode de chiffrement complexe. En 2023, les recherches démontrent que le chiffrement s’effectuait via une combinaison des algorithmes Chacha 2008 et KCipher2. Puis, les clés étaient chiffrées avec RSA-4096, destiné à un usage sensible.

Yohanes Nugroho, chercheur en cybersécurité, détermine que la génération unique des clefs repose sur l’algorithme SHA-256. Qu’en plus, il est appliqué en 1500 tours sur quatre horodatages distincts, à la nanoseconde près ! Il n’y a pas de déchiffrement possible avec des méthodes classiques.

La faille (sur Linux) que découvre le chercheur est liée à l’utilité même de la protection : l’horodatage. La rétro-ingénierie recrée les clés de chiffrement.

« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » (Crédits : Recorded Future)

En début d’année 2025, Akira a lancé une nouvelle version de son logiciel malveillant, écrite en Rust. Cette version cible des extensions de fichiers spécifiques et intègre des mécanismes d’évasion améliorés, rendant sa détection plus difficile. « Cependant, une fois que cela a été publié, les attaquants ont mis à jour leur cryptage. Je m’attends à ce qu’ils changent de nouveau leur chiffrement après que j’ai publié ceci », explique le chercheur.

Des victimes au nombre de 808

Depuis son apparition en mars 2023, le ransomware Akira a ciblé 808 victimes, selon Ransomware Live. La moitié d’entre elles se retrouve aux États-Unis (305), au Canada (40), en Allemagne (28), au Royaume-Uni (17), au Brésil (17). En mai 2025, l’entreprise KNP Logistics, l’un des plus grands transporteurs britanniques, a été contrainte à la fermeture après la cyberattaque de juin 2023.

Parmi les victimes notables figurent Nissan Australie (12/2023), l’université de Stanford (10/2023), le zoo de Toronto (01/2024), dont les données sont divulguées sur le site de fuite.

Les dernières victimes en date sont : McKenzie Commercial Contractors (USA, 29/05/2025), AGME Automated Assembly Solutions (Allemagne, même date), Termignoni SpA (Italie, m.d.), et Del Corona & Scardigli (Canada, m.d.)

Selon des données de Ransomware[.]live, Akira a revendiqué plus de 250 attaques en un an, affectant aussi bien des écoles publiques américaines, des fournisseurs d’énergie (Mississippi Power) que des entreprises agroalimentaires.

(Crédits : Tima Miroshnichenko/Pexels)

Si l’entreprise ne paie pas la rançon (allant de 200 000 dollars à plus de 4 millions de dollars des États-Unis sur la base des informations d’Arctic Wolf and Incident Response), le nom et les données de la victime sont publiés sur le site de fuite d’Akira. D’ailleurs, le ransomware revendique les victimes à un rythme effréné : « 54 au mois d’avril, à date, après 62 en mars, et un total de 80 en février. Mais dans ce dernier cas, au moins 21 des revendications se rapportaient à des faits antérieurs. »