AKIRA en Suisse : près de 200 entreprises ciblées par des attaques par rançongiciel
Contexte et cadre de l’enquête
Depuis avril 2024, le Ministère public de la Confédération mène une procédure pénale visant des auteurs non identifiés, en lien avec une série d’attaques par rançongiciel qui se déploient entre mai 2023 et septembre 2025. L’enquête est coordonnée par l’Office fédéral de la police (Fedpol) en collaboration avec l’Office fédéral de la cybersécurité (OFCS); des autorités étrangères participent à l’effort, selon un communiqué conjoint.
Éléments clefs du dossier
Les attaques, revendiquées par le groupe AKIRA, sont toujours en cours et se seraient intensifiées ces derniers mois. Le nombre de cas attribués au même rançongiciel est estimé à quatre ou cinq par semaine, ce qui constituerait un record en Suisse.
Mode opératoire : la double extorsion
AKIRA est apparu pour la première fois en mars 2023. Le groupe utilise des outils spécifiques et une infrastructure déployée dans plusieurs pays. Son mode opératoire repose sur la double extorsion : d’abord le vol des données des victimes, puis leur chiffrement. Une rançon est ensuite demandée. En cas de défaut de paiement dans les délais, la clé de déchiffrement pourrait ne pas être fournie et les données pourraient être publiées sur le Darknet.
Portée et victimes présumées
Les autorités évoquent environ 200 entreprises touchées; toutefois, elles indiquent qu’il pourrait exister un nombre de cas non signalés. Par crainte pour leur réputation, certaines victimes paient les rançons (généralement en cryptomonnaies comme le Bitcoin) ou ne déposent pas de plainte.
Conseils des autorités et mesures de prévention
En cas d’attaque, les autorités recommandent de ne pas payer la rançon et de les contacter pour obtenir des conseils. Le dépôt de plainte permet d’élargir les pistes d’enquête et d’améliorer les chances de rétablissement. Elles rappellent que l’entrée des rançongiciels passe fréquemment par des systèmes non à jour et des accès à distance mal sécurisés, tels que le VPN et le RDP, dépourvus d’une authentification à deux facteurs.
Réaction et mesures immédiates
En cas d incident, il convient de bloquer toutes les connexions Internet et de vérifier et sécuriser immédiatement les sauvegardes. Les systèmes infectés doivent être déconnectés physiquement du réseau dès que possible pour limiter la propagation.
