Plus de 200 entreprises suisses ciblées par le groupe AKIRA
Contexte et coordination des autorités
Depuis avril 2024, le Ministère public de la Confédération (MPC) mène une procédure pénale contre des personnes non identifiées, liée à plusieurs attaques par rançongiciel menées entre mai 2023 et septembre 2025. L’enquête est coordonnée par l’Office fédéral de la police (Fedpol) avec la collaboration de l’Office fédéral de la cybersécurité (OFCS). Des autorités d’autres pays participent également à ce dossier, selon les informations communiquées par ces trois institutions.
Modus operandi et revendications d AKIRA
Les attaques, revendiquées par le groupe AKIRA, sont toujours actives et se seraient intensifiées ces derniers mois, selon les autorités. Les incidents liés au même rançongiciel seraient en hausse et atteignent entre 4 et 5 cas par semaine, un chiffre record en Suisse.
Double extorsion et mécanisme de paiement
AKIRA est apparu pour la première fois en mars 2023. Le groupe utilise des logiciels spécialement développés et dispose d’une infrastructure répartie sur plusieurs pays. Il pratique la doubles extorsion: d’abord il dérobe les données de la victime, puis il les crypte. Une rançon est ensuite demandée. En cas de non-paiement dans les délais, la clé de déchiffrement n’est pas fournie et les données peuvent être publiées sur le Darknet.
Lorsque les autorités évoquent environ 200 entreprises victimes, elles indiquent qu’il pourrait exister un nombre de cas non signalés. Certaines victimes, craignant pour leur réputation, paient les rançons, le plus souvent en cryptomonnaie (généralement du Bitcoin), et/ou ne portent pas plainte.
Recommandations et conduite à tenir
En cas d’attaque, les autorités recommandent de ne pas payer les rançons et de les signaler auprès des autorités compétentes. Le dépôt de plaintes peut accroître les pistes d’enquête et améliorer les chances de progresser dans la lutte contre ces groupes criminels.
Elles rappellent aussi que l’accès à ces attaques passe souvent par des systèmes non mis à jour et des accès à distance non sécurisés, comme le VPN ou le RDP, qui ne sont pas protégés par une authentification à deux facteurs (2FA).
Mesures immédiates en cas d’incident
En cas d’incident, il faut bloquer toutes les connexions Internet et vérifier puis sécuriser les sauvegardes. Les systèmes infectés doivent être déconnectés physiquement du réseau dès que possible.
