Cybercriminalité : Le groupe AKIRA intensifie ses activités

Depuis avril 2024, le MPC conduit une procédure pénale contre inconnus à la suite de plusieurs attaques de ransomwares menées entre mai 2023 et septembre 2025 contre des entreprises suisses. Revendiquées par le groupe de pirates informatiques surnommé AKIRA, ces attaques sont toujours en cours et se sont intensifiées ces derniers mois. Les autorités ont en effet constaté une augmentation du nombre de cas liés au même ransomware (entre 4 et 5 par semaine, un chiffre record en Suisse), ce qui prouve que le groupe en question est très actif. Environ 200 cents entreprises en Suisse ont déjà été victimes. Le préjudice dépasse actuellement plusieurs millions de francs suisses, et s'élève à plusieurs centaines de millions de dollars à l'échelle mondiale.

Le MPC a repris plusieurs procédures pénales cantonales ouvertes dans le même contexte. La procédure est actuellement menée contre inconnus pour soustraction de données (art. 143 CP), détérioration de données (art. 144bis CP) et extorsion (art. 156 CP), subsidiairement, tentative d'extorsion (art. 22 cum 156 CP). L’enquête est coordonnée par l'Office fédéral de la police (fedpol), en étroite collaboration avec l'Office fédéral de la cybersécurité (OFCS) et les autorités de plusieurs pays impliqués.

Le groupe AKIRA est apparu en mars 2023, faisant rapidement l’objet de plusieurs articles dans Ia presse spécialisée. Il agit au moyen de programmes spéciaux spécialement développés à cette fin et dispose d’une infrastructure informatique répartie dans plusieurs pays au niveau international. Il pratique ce qui est communément appelé Ia double extorsion, consistant à soustraire les données de la victime avant de les chiffrer. Une fois les données chiffrées, la victime ne peut que constater le blocage, total ou partiel de son réseau informatique, rendant les activités de l’entreprise touchée potentiellement impossibles. Si la rançon n’est pas honorée dans les délais fixés, en plus de ne pas fournir la clé de déchiffrement permettant à la victime d’avoir à nouveau accès à ses données informatiques, AKIRA les publie alors dans un blog hébergé sur le darknet. Ce blog s’appelle un DLS pour « Data Leak Site ». Le paiement de la rançon se fait en cryptomonnaie, la plupart du temps en Bitcoin.

Ne payez pas de rançon – signalez-la aux autorités

Au vu des informations recueillies jusqu'à présent dans le cadre de l’enquête en cours, les autorités supposent qu'il existe un certain nombre de cas non signalés. Ceci car les victimes de ce groupe, craignant pour leur réputation, paient les rançons exigées et / ou renoncent à porter plainte. Le MPC, fedpol et l’OFCS soulignent que le dépôt de plaintes permet d'augmenter les pistes d'enquête possibles et, par conséquent, les chances de succès dans la lutte contre ces groupes criminels. Les autorités rappellent de ne pas payer de rançons, lesquelles contribuent à financer les activités des auteurs. Il est donc recommandé de consulter les autorités avant de prendre toute mesure en cas de demande de rançon liée à un ransomware.

Mesures concrètes

Bien que ces attaques ransomware soient généralement complexes, la plupart d'entre elles peuvent être évitées. Le plus souvent, la porte d'entrée pour ces attaques au rançongiciel sont des systèmes non mis à jour et des accès à distance comme le VPN (Virtual Private Network) et le RDP (Remote Desktop Protocol) qui ne sont pas sécurisés par une authentification à deux facteurs (2FA). En cas d'incident, toutes les connexions Internet (web, e-mail, accès à distance et VPN site à site) doivent d'abord être bloquées. Les sauvegardes doivent être vérifiées et sécurisées immédiatement. Les systèmes doivent également être physiquement déconnectés du réseau infecté dès que possible. Le but premier de la résolution de l’incident est de découvrir la voie d’infection et de prévenir une nouvelle infection. Les autorités recommandent de procéder à une dénonciation pénale dans tous les cas.

Pour de plus amples informations : Rançongiciels – que faire ?