Depuis longtemps, la physique quantique nourrit la science-fiction. Dans Star Trek, des capitaines utilisent le tunnel quantique et l’intrication pour téléporter des personnages vers des mondes lointains, communiquer via le subespace, ou encore envisager des moteurs à distorsion, tous plus rapides que la lumière. Ces idées semblaient à l’époque relever de la pure fantaisie. Pourtant […]
Alors que l’intelligence artificielle s’impose dans la cybersécurité, Anthropic révèle la première campagne de cyberespionnage menée presque entièrement par une IA. Des hackers auraient détourné Claude pour automatiser des attaques complexes à grande échelle, mettant en lumière autant les...
Depuis longtemps, la physique quantique nourrit la science-fiction. Dans Star Trek, des capitaines utilisent le tunnel quantique et l’intrication pour téléporter des personnages vers des mondes lointains, communiquer via le subespace, ou encore envisager des moteurs à distorsion, tous plus rapides que la lumière. Ces idées semblaient à l’époque relever de la pure fantaisie. Pourtant […]
En plus de risquer une amende, ne pas mettre à jour son certificat d’immatriculation lors d’un déménagement vous expose à des risques plus ou moins importants.
Une récente série de tests menée par une équipe de chercheurs spécialisés en cybersécurité met en lumière des failles préoccupantes dans les comportements des modèles d’IA les plus connus. Les expériences montrent qu’un langage adouci, reformaté ou simplement masqué suffit parfois à contourner les mécanismes de protection pourtant présentés comme robustes. Cette étude, réalisée dans ... Lire plus
Stellantis n’est plus le seul à être visé puisque trois nouvelles marques font l’objet d’une enquête de juges français dans le scandale Takata. En cause, leur manque de réactivité.
Au-delà d’Hyper-V et d’ESXi, Akira a aussi chiffré des VM Nutanix.
Le bulletin que la CISA consacre à ce ransomware vient d’être mis à jour pour intégrer cette information… entre autres.
La version initiale datait d’avril 2024. Un an et demi plus tard, les techniques ont évolué sur toute la ligne, de l’accès initial à l’extorsion. Quant au chiffrement de VM Nutanix*, il a été constaté dans le cadre d’un incident survenu en juin 2025. Au début de la chaîne d’attaque, il semble y avoir eu la faille CVE-2024-40766 (contrôle d’accès défaillant dans les pare-feu SonicWall).
Des accès initiaux via Veeam
La version d’avril 2024 évoquait un accès initial via des VPN sans MFA. Essentiellement de marque Cisco, était-il précisé, avec deux vulnérabilités citées. L’une et l’autre localisées dans l’interface web d’ASA (Adaptitve Security Appliance) et de FTD (Firepower Threat Defense). La première (CVE-2020-3259) permet de récupérer du contenu en mémoire sans authentification. La deuxième (CVE-2023-20269) ouvre la voie à des attaques de force brute ou à la mise en place de sessions VPN SSL avec un utilisateur non autorisé.
D’après la nouvelle version du bulletin, à laquelle a contribué l’OFAC (Office anti-cybercriminalité français), l’arsenal d’accès initial s’est diversifié. Avec notamment :
CVE-2020-3580, autre vulnérabilité sur l’interface web d’ASA et FTD, permettant un XSS sans authentification
CVE-2023-28252, faille dans le CLFS (service de journalisation Windows utilisé par les programmes s’exécutant en mode utilisateur ou noyau), utilisée pour l’élévation de privilèges
CVE-2024-37085 (contournement d’authentification dans ESXi via Active Directory)
CVE-2023-27532 et CVE-2024-40711, qui touchent toutes les deux Veeam Backup & Replication (la première permet d’exfiltrer des authentifiants chiffrés depuis la base de données de config ; la deuxième ouvre la porte à une RCE par désérialisation de données malicieuses)
Zemana AntiMalware détourné pour stopper les antivirus
Sur la phase de reconnaissance, la mise à jour du bulletin ajoute peu d’éléments. Sinon l’utilisation de nltest /dclist: et de nltest /DOMAIN_TRUSTS.
Parmi les outils dont se servent les affiliés d’Akira figurent NetScan, Advanced IP Scanner et SoftPerfect. Mimikatz et LaZagne aussi, pour récupérer des authentifiants.
La version initiale signalait le recours à un outil légitime (Zemana AntiMalware) pour stopper les processus liés à des antivirus.
La mise à jour y ajoute l’exploitation d’outils d’accès distant tels AnyDesk et LogMeIn pour établir une persistance et se fondre dans l’activité admin.
La protection des disques virtuels neutralisée
La version initiale du bulletin apportait peu d’informations sur la manière dont les affiliés d’Akira obtenaient des privilèges.
La mise à jour en dit davantage, entre exploitation de services comme Veeam.Backup.MountService.exe et ajout de nouveaux comptes utilisateurs au groupe admin.
Elle mentionne un incident dans lequel la protection VMDK a été contournée en éteignant temporairement la VM du contrôleur de domaine. Les VMDK ont alors été copiés et attachés à une nouvelle VM. Cela a permis d’extraire le fichier NTDS.dit et la hive SYSTEM (groupe logique de clés, sous-clés et valeurs de registre) ; pour, au bout, compromettre un compte d’administrateur de domaine.
Un chiffrement hybride et personnalisable
Quantité d’outils ont été mis à profit pour l’exfiltration de données. 7-zip et WinRAR en font partie, comme FileZilla, RClone et WinSCP.
Pour établir des canaux de commande et de contrôle, AnyDesk, Cloudflare Tunnels, MobaXterm, Ngrok et RustDesk ont été mis à contribution.
Dans certain cas, à peine 2 heures se sont écoulées entre l’accès initial et l’exfiltration.
Le schéma de chiffrement utilisé par Akira était pour l’essentiel déjà établi en avril 2024. Hybride, il associe un cipher ChaCha20 et un système à clé RSA publique. L’ensemble permet un chiffrement total ou partiel, tout en le personnalisant selon le type et la taille de fichiers.
Afin de compliquer la récupération et l’analyse forensique, des commandes PowerShell sont utilisées pour supprimer les copies VSS.
Des options pour ne cibler que les VM
La première version d’Akira était écrite en C++. Sa deuxième incarnation, repérée à l’été 2023, est écrite en Rust. Elle est dotée d’une couche de protection supplémentaire compliquant l’analyse dynamique. Ainsi que d’une gestion des threads, améliorant l’efficacité du processus de chiffrement. Elle peut par ailleurs être déployée exclusivement contre les VM (paramètre vmonly) et stopper ces dernières (stopvm).
Akira est associé aux groupes connus sous le nom de Gold Sahara, Howling Scorpius, Punk Spider et Storm-1567. Il pourrait avoir des liens avec feu Conti.
* Lors d’une récente conférence, Gartner a prédit qu’à l’horizon 2028, 35 % des workloads VMware seraient passés sur une autre plate-forme. Le cabinet américain a suggéré d’envisager en premier lieu Nutanix. Pas tant pour les prix que pour les capacités fonctionnelles.
Tandis que l’IA générative s’invite partout, des clôtures comptables aux algorithmes de détection de fraude, la tentation est grande de déployer vite et de réfléchir ensuite. Problème : dans les environnements régulés, un modèle biaisé ou opaque ne fait pas seulement perdre du temps, il détruit la confiance et expose l’entreprise. Le vrai game changer […]
Se connecter au Wi-Fi d’un café, d’un hôtel ou de n’importe quel lieu public est un geste courant pour beaucoup d’entre nous. Il présente pourtant des risques en matière de sécurité. À défaut d’éviter systématiquement ces réseaux, certaines précautions peuvent...
Malgré les garde-fous, des hackers ont manipulé Claude Code pour mener des opérations d’espionnage. L’IA aurait fait 80 % à 90 % du travail à la place des humains.
Belkin procède au rappel de près de 85 000 batteries externes, en raison d’un risque d’incendie identifié. Les consommateurs sont invités à vérifier si leur appareil fait partie des modèles concernés par cette mesure de sécurité.
DoorDash a annoncé avoir été victime d’une importante violation de données. L’entreprise précise que des informations sensibles concernant ses clients ont été compromises lors de cet incident, suscitant l’inquiétude quant à la sécurité des données personnelles sur la plateforme.
La course au meilleur antimalware occupe toutes les discussions autour de la cybersécurité grand public. En 2025, les menaces évoluent vite et demandent des protections ...
Connexion
