SOC Prime Bias: Élevé

24 Nov 2025 19:49
newspaper icon AttackIQ

Rançongiciel Akira : Réponse à l’avis consultatif de la CISA AA24-109A

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Rançongiciel Akira : Réponse à l’avis consultatif de la CISA AA24-109A
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Akira Ransomware : Réponse à l’avertissement AA24-109A de la CISA SOMMAIRE

L’avis présente le fonctionnement du ransomware Akira, une menace de type Ransomware-as-a-Service (RaaS) qui chiffre les données des victimes et les exfiltre avant le chiffrement. Observé pour la première fois en mars 2023, Akira est rapidement devenu proéminent et l’on pense qu’il partage une lignée de code avec la famille de ransomwares Conti. Le document détaille les tactiques, techniques et procédures du groupe, y compris les attaques par force brute contre RDP, le vol d’identifiants et la dépendance à un portail de fuite hébergé sur TOR. Les victimes sont généralement sous pression pour payer soit pour les clés de déchiffrement soit pour la promesse de suppression des données volées.

Enquête

Une enquête coordonnée par la CISA, le FBI, NCSC-NL, et plusieurs partenaires des forces de l’ordre européens a rafraîchi le profil de menace d’Akira jusqu’en novembre 2025. Les conclusions techniques mettent en lumière la persistance à travers la création de nouveaux comptes locaux, une large reconnexion utilisant les API Windows natives, et l’utilisation d’outils de vol d’identifiants tels que Mimikatz, LaZagne et Rubeus. Le chiffrement des fichiers est implémenté avec l’algorithme ChaCha20, avec des clés protégées en utilisant RSA-4096.

Atténuation du Ransomware Akira

Les priorités défensives incluent l’application de mots de passe RDP forts et uniques, la surveillance de la création de comptes inhabituelle et l’activité d’énumération des privilèges, et le blocage des outils offensifs couramment abusés. Les organisations devraient maintenir des sauvegardes régulièrement testées, désactiver les services non essentiels, et déployer des contrôles basés sur l’hôte pour prévenir le vidage de mémoire LSASS. Des protections supplémentaires impliquent le filtrage du trafic TOR à la périphérie du réseau et le suivi de l’exfiltration potentielle de données vers une infrastructure .onion.

Réponse

Lorsqu’une activité Akira est suspectée, isolez immédiatement l’hôte affecté, acquérez les images mémoire et disque, et conservez tous les indicateurs de compromission pertinents. Réinitialisez les identifiants exposés, supprimez les comptes non autorisés, et restaurez les systèmes à partir de sauvegardes fiables et vérifiées. Un examen judiciaire approfondi devrait tracer les chemins de mouvement latéraux et les points de pivot, avec les résultats signalés aux autorités appropriées et aux partenaires de partage d’informations.

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[« <b>Technique</b> – <b>T1110.004 Brute Force – Credential Stuffing</b><br /><b>Description</b>: L’attaquant tente de se connecter en utilisant un grand nombre d’identifiants précédemment compromis sur un service distant. »] class tech_bruteforce technique tech_rdp[« <b>Technique</b> – <b>T1021.001 Remote Services: RDP</b><br /><b>Description</b>: Utilisation du protocole Remote Desktop pour établir une session interactive à distance. »] class tech_rdp technique tech_createacct[« <b>Technique</b> – <b>T1136.001 Create Account: Local Account</b><br /><b>Description</b>: L’adversaire crée un nouveau compte utilisateur local pour la persistance ou l’élévation de privilèges. »] class tech_createacct technique tech_localgroup[« <b>Technique</b> – <b>T1069.001 Permission Groups Discovery: Local Groups</b><br /><b>Description</b>: Enumère les adhésions aux groupes locaux pour identifier les comptes privilégiés. »] class tech_localgroup technique tech_domaingroup[« <b>Technique</b> – <b>T1069.002 Permission Groups Discovery: Domain Groups</b><br /><b>Description</b>: Enumère les adhésions aux groupes de domaine pour localiser des groupes privilégiés supplémentaires. »] class tech_domaingroup technique tech_processdisc[« <b>Technique</b> – <b>T1057 Process Discovery</b><br /><b>Description</b>: Utilise des utilitaires tels que tasklist pour lister les processus en cours d’exécution sur l’hôte. »] class tech_processdisc technique tech_remotesysdisc[« <b>Technique</b> – <b>T1018 Remote System Discovery</b><br /><b>Description</b>: Identifie les systèmes distants, par exemple les contrôleurs de domaine, à l’aide d’outils comme nltest. »] class tech_remotesysdisc technique tech_trustdisc[« <b>Technique</b> – <b>T1482 Domain Trust Discovery</b><br /><b>Description</b>: Interroge les relations de confiance entre domaines utilisant nltest trusted_domains. »] class tech_trustdisc technique tech_kerberoast[« <b>Technique</b> – <b>T1558.003 Kerberoasting</b><br /><b>Description</b>: Extrait les tickets de service et les casse hors ligne, souvent avec des outils tels que Rubeus. »] class tech_kerberoast technique tech_lsassdump[« <b>Technique</b> – <b>T1003.001 OS Credential Dumping</b><br /><b>Description</b>: Vide la mémoire de LSASS via comsvcs.dll et Mimikatz pour obtenir des identifiants en clair. »] class tech_lsassdump technique tech_regdump[« <b>Technique</b> – <b>T1003.002 Registry Hive Dump</b><br /><b>Description</b>: Sauvegarde la ruche du registre SYSTEM (par exemple, via la commande reg save) pour une analyse hors ligne. »] class tech_regdump technique tech_wmiexec[« <b>Technique</b> – <b>T1047 Windows Management Instrumentation</b><br /><b>Description</b>: Exécute des commandes à distance via WMI, couramment en utilisant des utilitaires comme wmiexec. »] class tech_wmiexec technique tech_rdp_lateral[« <b>Technique</b> – <b>T1021.001 Remote Services: RDP (Lateral)</b><br /><b>Description</b>: Se déplace latéralement vers d’autres hôtes via des connexions protocole Remote Desktop. »] class tech_rdp_lateral technique tech_ssh[« <b>Technique</b> – <b>T1021.004 Remote Services: SSH</b><br /><b>Description</b>: Se rabat sur le protocole Secure Shell pour le mouvement latéral lorsque RDP est indisponible. »] class tech_ssh technique tech_sysinfo[« <b>Technique</b> – <b>T1082 System Information Discovery</b><br /><b>Description</b>: Rassemble des détails sur le système d’exploitation et le matériel à l’aide de commandes telles que GetSystemInfo. »] class tech_sysinfo technique tech_queryreg[« <b>Technique</b> – <b>T1012 Query Registry</b><br /><b>Description</b>: Lit les valeurs de registre comme MachineGUID pour identifier de manière unique l’hôte. »] class tech_queryreg technique tech_filedisc[« <b>Technique</b> – <b>T1083 File and Directory Discovery</b><br /><b>Description</b>: Enumère les fichiers et les répertoires en utilisant les appels API FindFirstFile/FindNextFile. »] class tech_filedisc technique tech_logdrive[« <b>Technique</b> – <b>T1680 Logical Drive Discovery</b><br /><b>Description</b>: Récupère les lettres et types de lecteurs logiques via GetLogicalDriveStringsW et GetDriveTypeW. »] class tech_logdrive technique tech_permmod[« <b>Technique</b> – <b>T1222.001 File and Directory Permissions Modification</b><br /><b>Description</b>: Modifie les ACLs sur les fichiers ou répertoires en utilisant icacls pour permettre un accès supplémentaire. »] class tech_permmod technique tech_inhibitrec[« <b>Technique</b> – <b>T1490 Inhibit System Recovery</b><br /><b>Description</b>: Supprime les copies de sauvegarde Volume Shadow via WMI pour empêcher la restauration. »] class tech_inhibitrec technique tech_encrypt[« <b>Technique</b> – <b>T1486 Data Encrypted for Impact</b><br /><b>Description</b>: Chiffre les données des victimes en utilisant un chiffrement symétrique ChaCha20 et RSA‑4096 pour la protection des clés. »] class tech_encrypt technique %% Connections – Attack Flow tech_bruteforce u002du002d>|leads_to| tech_rdp tech_rdp u002du002d>|leads_to| tech_createacct tech_createacct u002du002d>|leads_to| tech_localgroup tech_localgroup u002du002d>|leads_to| tech_domaingroup tech_domaingroup u002du002d>|leads_to| tech_processdisc tech_processdisc u002du002d>|leads_to| tech_remotesysdisc tech_remotesysdisc u002du002d>|leads_to| tech_trustdisc tech_trustdisc u002du002d>|leads_to| tech_kerberoast tech_kerberoast u002du002d>|leads_to| tech_lsassdump tech_lsassdump u002du002d>|leads_to| tech_regdump tech_regdump u002du002d>|leads_to| tech_wmiexec tech_wmiexec u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_ssh tech_ssh u002du002d>|leads_to| tech_sysinfo tech_sysinfo u002du002d>|leads_to| tech_queryreg tech_queryreg u002du002d>|leads_to| tech_filedisc tech_filedisc u002du002d>|leads_to| tech_logdrive tech_logdrive u002du002d>|leads_to| tech_permmod tech_permmod u002du002d>|leads_to| tech_inhibitrec tech_inhibitrec u002du002d>|leads_to| tech_encrypt

Flux d’attaque

Exécution de la simulation

Prérequis : Le contrôle de pré-vol de télémétrie et de base doit avoir été passé.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement les TTPs identifiés et génèrent la télémétrie exacte attendue par la logique de détection.

  • Narratif d’attaque et commandes :
    L’opérateur de ransomware se prépare à chiffrer un répertoire de documents utilisateurs. Tout d’abord, il s’assure que les fichiers sont pleinement accessibles au processus de ransomware en accordant Everyone un contrôle total en utilisant icacls.exe. C’est une étape classique de « accorder-plein-accès avant de chiffrer », correspondant à la technique MITRE T1222.001. L’attaquant exécute la commande à partir d’un contexte à faibles privilèges mais se base sur le fait que icacls.exe peut modifier les ACLs si le processus dispose de permissions suffisantes (par exemple, en s’exécutant en tant que SYSTEM via une tâche planifiée).

    # Chemin vers le répertoire cible
$target = "C:UsersPublicDocumentsSensitiveData"

# Accorder récursivement un contrôle total à Everyone
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    La commande ci-dessus crée un événement Sysmon ProcessCreate où Image se termine par icacls.exe, satisfaisant la règle de détection.

  • Script de test de régression :

    # ---------------------------------------------------------------
# Test de régression – Modification des permissions Icacls (T1222.001)
# ---------------------------------------------------------------
# Créer un répertoire de test temporaire
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# Peupler avec des fichiers factices
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Exécuter icacls pour accorder à Everyone le plein contrôle (cela devrait déclencher la règle)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# Pause pour permettre l'ingestion par le SIEM
Start-Sleep -Seconds 10

# Fin du script

  • Commandes de nettoyage :

    # ---------------------------------------------------------------
# Nettoyage – Supprimer les modifications ACL de test et supprimer les données de test
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# Réinitialiser les permissions aux valeurs par défaut (supprimer l'accord Everyone)
icacls.exe "$testDir*" /reset /T /C

# Supprimer le répertoire de test
Remove-Item -Path $testDir -Recurse -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement