Depuis avril 2024, le Ministère public de la Confédération (MPC) mène une procédure pénale contre inconnus suite à plusieurs attaques par rançongiciel menées entre mai 2023 et septembre 2025. L'enquête est coordonnée par l'Office fédéral de la police (Fedpol), en collaboration avec l'Office fédéral de la cybersécurité (OFCS), expliquent jeudi ces trois entités dans un communiqué commun. Les autorités de plusieurs pays sont également impliquées.
Ces attaques, revendiquées par AKIRA, sont toujours en cours et se sont intensifiées ces derniers mois, alertent les autorités. Les cas liés au même rançongiciel sont en hausse et atteignent entre 4 et 5 instances par semaine, un chiffre record en Suisse, soulignent-elles.
Double extorsion
AKIRA est apparu pour la première fois en mars 2023. Le groupe travaille avec des logiciels spécialement développés à cet effet et dispose d'une infrastructure informatique répartie sur plusieurs pays.
Il pratique ce qu'on appelle la double extorsion, qui consiste à dérober d'abord les données de la victime, puis à les crypter. Une rançon est ensuite demandée. Si elle n'est pas versée dans les délais fixés, non seulement la clé de déchiffrement n'est pas fournie, mais les données sont aussi publiées sur le Darknet.
Si elles mentionnent 200 entreprises victimes, les autorités supposent qu'il existe un certain nombre de cas non signalés. Craignant pour leur réputation, certaines victimes paient les rançons, ce qui s'effectue en cryptomonnaie, la plupart du temps en Bitcoin, et/ou ne portent pas plainte.
Ne pas payer les rançons
En cas d'attaque, les autorités recommandent cependant de ne pas payer de rançon et de les consulter. Elles soulignent que le dépôt de plaintes permet d'augmenter les pistes d'enquête possibles et, par conséquent, les chances de succès dans la lutte contre ces groupes criminels.
Elles rappellent aussi que la porte d'entrée pour ces attaques au rançongiciel est le plus souvent des systèmes non mis à jour et des accès à distance comme le VPN (Virtual Private Network) et le RDP (Remote Desktop Protocol) qui ne sont pas sécurisés par une authentification à deux facteurs (2FA).
En cas d'incident, il s'agit de bloquer toutes les connexions Internet et de vérifier et sécuriser immédiatement les sauvegardes. Les systèmes doivent être physiquement déconnectés du réseau infecté dès que possible. (awp/hzi/ps)