Contexte et cadre de l’enquête
Depuis avril 2024, le Ministère public de la Confédération mène une procédure pénale contre des personnes inconnues à la suite de plusieurs attaques par rançongiciel intervenues entre mai 2023 et septembre 2025. Le dossier est coordonné par l’Office fédéral de la police (Fedpol) en collaboration avec l’Office fédéral de la cybersécurité (OFCS). D’autres autorités nationales et internationales participent à cette enquête, selon un communiqué commun publié jeudi par ces trois entités.
Attaques revendiquées et intensification
Les attaques attribuées au groupe AKIRA se poursuivent et se seraient intensifiées ces derniers mois. Les cas liés au même rançongiciel augmentent et se situent entre 4 et 5 par semaine en Suisse, un chiffre record avancé par les autorités.
Double extorsion et mécanisme
AKIRA est apparu pour la première fois en mars 2023. Le groupe exploite des logiciels spécifiquement développés à cet effet et s’appuie sur une infrastructure informatique répartie sur plusieurs pays. Le mode opératoire repose sur la double extorsion: d’une part le vol des données, puis leur cryptage, et ensuite une demande de rançon. En cas de non-paiement dans les délais, la clé de déchiffrement n’est pas fournie et les données peuvent être publiées sur le Darknet.
Impact et victimes
Les autorités estiment qu’environ 200 entreprises seraient touchées, tout en signalant qu’un certain nombre de cas non signalés pourraient exister par crainte d’atteinte à la réputation. Certaines victimes paient les rançons en cryptomonnaie, le plus souvent en Bitcoin, et ne déposent pas nécessairement plainte.
Recommandations des autorités
Les autorités recommandent toutefois de ne pas payer les rançons et de les signaler. Le dépôt d’une plainte permet d’élargir les pistes d’enquête et d’améliorer les chances de progression dans la lutte contre ces groupes criminels.
Mesures préventives et réponses techniques
Les autorités rappellent que l’entrée principale des attaques est souvent liée à des systèmes non mis à jour et à des accès à distance non sécurisés, comme le VPN et le RDP, qui ne bénéficient pas d’une authentification à deux facteurs (2FA). En cas d’incident, il convient de bloquer toutes les connexions Internet, de vérifier et de sécuriser les sauvegardes et de déconnecter physiquement les systèmes infectés du réseau dès que possible.