AKIRA cible 200 entreprises en Suisse avec des attaques par rançongiciel et pratique la double extorsion

Contexte juridique et coopération internationale

Depuis avril 2024, le Ministère public de la Confédération (MPC) a ouvert une procédure pénale contre des personnes non identifiées, en lien avec plusieurs attaques par rançongiciel menées entre mai 2023 et septembre 2025. Le dossier est coordonné par l’Office fédéral de la police (Fedpol) en collaboration avec l’Office fédéral de la cybersécurité (OFCS). Des autorités d’autres États participent également à l’enquête, selon un communiqué commun des trois institutions.

AKIRA et le mode opératoire

Le groupe, qui a revendiqué ces actes, est apparu pour la première fois en mars 2023 et disposerait d’une infrastructure informatique active dans plusieurs pays. Il applique une stratégie de double extorsion: d’abord il dérobe les données, puis il crypte les systèmes. Si la rançon n’est pas versée dans le délai imparti, la clé de déchiffrement peut ne pas être fournie et les données peuvent être publiées sur le Darknet.

Les autorités estiment qu’environ 200 entreprises pourraient être touchées, tout en précisant que certains cas restent non signalés par crainte d’atteindre la réputation des victimes. Certaines victimes versent des rançons en cryptomonnaie (principalement du Bitcoin) ou ne déposent pas de plainte.

Les autorités signalent une hausse des affaires liées à ce rançongiciel, atteignant entre 4 et 5 cas par semaine, un chiffre record en Suisse.

Recommandations officielles en cas d’attaque

Les autorités invitent à ne pas payer les rançons et à les signaler. Le dépôt de plainte permet d’ouvrir de nouvelles pistes d’enquête et augmente les chances de progresser dans la lutte contre ces réseaux criminels.

Prévention et bonnes pratiques

Elles rappellent que l’accès initial est souvent facilité par des systèmes non mis à jour et par des accès à distance peu sécurisés, comme le VPN et le RDP, qui ne bénéficient pas d’une authentification à deux facteurs (2FA).

En cas d’incident, il faut bloquer les connexions Internet, vérifier et sécuriser les sauvegardes et déconnecter physiquement les systèmes infectés du réseau dès que possible.