AKIRA cible environ 200 entreprises en Suisse, selon les autorités
Contexte et suivi judiciaire
Depuis avril 2024, le Ministère public de la Confédération (MPC) mène une procédure pénale contre des auteurs inconnus, relative à des attaques par rançongiciel menées entre mai 2023 et septembre 2025. L’enquête est coordonnée par l’Office fédéral de la police (Fedpol) en collaboration avec l’Office fédéral de la cybersécurité (OFCS). Des autorités d’autres pays participent également à l’instruction, selon un communiqué commun publié jeudi par ces trois entités.
AKIRA et l’évolution des attaques
Les attaques revendiquées par le groupe AKIRA se poursuivent et se seraient intensifiées ces derniers mois. Le nombre de cas liés au même rançongiciel est en hausse, atteignant entre 4 et 5 affaires par semaine, un niveau record en Suisse, selon les autorités.
Double extorsion et conséquences
Apparu en mars 2023, AKIRA utilise des outils logiciels dédiés et s’appuie sur une infrastructure répartie sur plusieurs pays. Le groupe pratique la double extorsion: il dérobe d’abord les données des victimes, puis crypte ces données et demande une rançon. En cas de non-paiement dans les délais, la clé de déchiffrement n’est pas fournie et les données peuvent être publiées sur le Darknet.
Cas non signalés et comportements des victimes
Les autorités estiment qu’un chiffre important d’incidents n’a pas été signalé publiquement. Si une mention évoque 200 entreprises victimes, cela pourrait refléter des cas non rendus publics, certains craignant pour leur réputation ou choisissant de ne pas déposer plainte.
Recommandations officielles en cas d’incident
En cas d’attaque, les autorités recommandent de ne pas payer la rançon et de les contacter. Le dépôt d’une plainte peut augmenter les pistes d’enquête et les chances de progression dans la lutte contre ces groupes criminels.
Elles rappellent aussi que la porte d’entrée est souvent constituée par des systèmes non à jour et des accès à distance insuffisamment sécurisés, tels que le VPN et le RDP, qui manquent d’une authentification à deux facteurs (2FA).
En cas d’incident, il faut bloquer toutes les connexions Internet, vérifier et sécuriser immédiatement les sauvegardes, et déconnecter physiquement les systèmes du réseau affecté dès que possible.
