Akira, Everest, WorldLeaks : 7 victimes industrielles en 48h fin mai 2026

Les faits

Les 28 et 29 mai 2026 ont vu une accélération notable de l'activité ransomware dans le secteur industriel. Au moins sept organisations ont été publiées sur les sites de fuite de données de quatre groupes criminels distincts en moins de 48 heures, confirmant une vague — coordonnée ou du moins simultanée — d'attaques ciblant prioritairement les industries de l'énergie, de l'aéronautique, des équipements médicaux et de l'industrie lourde.

Le groupe Akira a revendiqué trois nouvelles victimes industrielles significatives. La première est GS Yuasa Lithium Power, filiale américaine de GS Yuasa Corporation, géant japonais reconnu comme l'un des principaux fabricants mondiaux de batteries lithium-ion pour les secteurs automobile, aéronautique, défense et systèmes embarqués. La compromission de ce fournisseur de composants critiques intervient dans un contexte tendu pour la chaîne d'approvisionnement des batteries, déjà fragilisée par les tensions géopolitiques autour des matériaux critiques (lithium, cobalt, nickel). La deuxième victime Akira est Alpine Aerotech, prestataire canadien spécialisé dans la maintenance, la révision et la remise en service de composants aéronautiques — des données de navigabilité et de certification dont l'exposition peut avoir des implications réglementaires sévères. Akira a également revendiqué AKM Enterprises Inc., groupe industriel nord-américain multi-secteurs.

Le groupe Everest a de son côté publié deux victimes. La première est Advanced Psychiatry Associates, réseau américain de cliniques spécialisées en santé mentale. La compromission potentielle de données psychiatriques — dossiers cliniques, diagnostics, traitements, correspondances thérapeutiques — est particulièrement sensible au regard du Health Insurance Portability and Accountability Act (HIPAA) et des réglementations de protection des données de santé mentale qui prévoient des sanctions renforcées. La deuxième publication d'Everest concerne également AKM Enterprises Inc. — la même organisation ciblée par Akira, ce qui confirme la pratique croissante de compromission par plusieurs groupes distincts d'une même victime, souvent via des accès revendus sur les marchés d'Initial Access Brokers.

Le groupe WorldLeaks, actif depuis 2025 et spécialisé dans le ciblage des secteurs industriels et des infrastructures énergétiques, a revendiqué la compromission d'American Battery Factory, fabricant américain de cellules LFP (lithium-fer-phosphate) destinées au stockage d'énergie renouvelable (solaire, éolien, réseaux intelligents). Bénéficiant de financements publics substantiels dans le cadre des politiques énergétiques américaines et européennes, l'entreprise dispose de données hautement sensibles : plans de fabrication de cellules, formulations chimiques propriétaires, contrats gouvernementaux et partenariats stratégiques. L'exfiltration potentielle de cette propriété intellectuelle présente une valeur économique et géopolitique considérable.

La société suisse Belimed AG, fournisseur mondial de systèmes de stérilisation, décontamination et nettoyage pour les hôpitaux, laboratoires et l'industrie pharmaceutique, figure également parmi les victimes avec une date de compromission estimée au 28 mai 2026. Belimed équipe des milliers d'établissements de santé à travers l'Europe, les États-Unis et l'Asie. Ses données clients — contrats hospitaliers, configurations d'équipements de stérilisation, données de maintenance préventive et calendriers de service — représentent une cible de choix pour de l'extorsion secondaire ou de l'espionnage industriel concurrentiel dans le secteur des équipements médicaux.

Deux victimes supplémentaires ont été publiées par le groupe Chaos en statut "pending publication" — Powerhouse et Entrans International, fabricant de transmissions industrielles pour les secteurs agricole et minier. Ce statut intermédiaire est une tactique de pression bien documentée : les organisations concernées ont généralement 72 à 96 heures pour entamer une négociation avant la publication complète des données exfiltrées. L'absence de réaction publique de ces deux entreprises à la date de publication de cet article suggère soit des négociations en cours, soit une absence de communication de crise organisée.

La concentration sectorielle de ces attaques sur deux jours n'est pas fortuite. Les analystes de PurpleOps et CYFIRMA pointent depuis début mai 2026 une tendance structurelle des groupes ransomware à cibler en priorité les sous-traitants industriels plutôt que les grands groupes directement : les PME industrielles ont des budgets sécurité plus restreints, des systèmes OT/IT souvent insuffisamment segmentés, et leur compromission permet d'exercer une pression indirecte sur des donneurs d'ordres — constructeurs automobiles, fabricants d'avions, hôpitaux, opérateurs d'énergie — dont la dépendance à ces fournisseurs est vitale. La chaîne d'approvisionnement industrielle comme vecteur de pression financière est le modèle dominant du ransomware d'extorsion en 2026, selon le rapport BlackFog State of Ransomware 2026.

Sur le front des forces de l'ordre, aucune opération n'a été annoncée en lien direct avec ces incidents des 28-29 mai. Toutefois, dans le sillage de l'Opération Saffron d'Europol qui avait démantelé First VPN et exposé l'infrastructure de 25 groupes ransomware, la pression judiciaire internationale s'intensifie. Akira, dont plusieurs membres ont fait l'objet de sanctions OFAC, continue d'opérer avec une résilience notable face à ces pressions — signe d'une structure organisationnelle distribuée et d'un modèle RaaS (Ransomware-as-a-Service) dont la décentralisation rend le démantèlement complexe. Everest, de son côté, a regagné en activité après une période de discrétion post-arrestations de 2025, avec une dizaine de victimes revendiquées en mai 2026 selon les données de ransomware.live.

Impact et exposition

Les organisations les plus exposées sont les sous-traitants industriels des filières énergie, aéronautique, automobile, défense et médical, dont les systèmes OT sont partiellement ou entièrement connectés au réseau IT. Les vecteurs d'entrée dominants pour Akira et Everest restent les accès VPN et RDP non protégés par MFA, et les identifiants achetés sur les marchés IAB (Initial Access Brokers). Les données exfiltrées incluent systématiquement les plans de fabrication, contrats clients, données RH, données financières et, le cas échéant, dossiers de conformité réglementaire — tous exploitables dans une logique de double extorsion. Les entreprises françaises des secteurs mentionnés sont directement concernées, l'ANSSI ayant identifié plusieurs victimes européennes d'Akira et Everest dans ses bulletins de veille récents.

Recommandations

• Segmenter les réseaux OT/IT — mesure prioritaire pour limiter la propagation d'un ransomware depuis le SI bureautique vers les systèmes de production industriels.
• Activer la MFA sur tous les accès distants — VPN, RDP, accès Citrix et portails d'administration : Akira et Everest exploitent massivement les accès non MFA comme vecteur d'entrée initial.
• Tester et valider les sauvegardes hors ligne immuables — c'est le seul rempart non négociable contre le chiffrement ransomware ; les sauvegardes connectées au réseau principal sont systématiquement chiffrées.
• Surveiller les IoC publiés par CERT-FR et ANSSI pour Akira, Everest et WorldLeaks — et les intégrer dans les SIEM, EDR et firewalls sans délai.
• Auditer les accès tiers et prestataires — les comptes de maintenance et de support externe sont fréquemment le point d'entrée initial dans les compromissions de sous-traitants industriels.