Akira 20230529 (7 messages)
Привет. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые забрали из вашей сети. Пока вам нужно понять: работать с нами самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и не торопите события. Мы вернёмся к вам в ближайшее время.
У вас есть полномочия вести переговоры от имени организации?
Akira
Попытки тянуть время могут привести к нашему выходу из диалога и публикации данных.
Жертва
Мы зафиксировали шифрование систем, резервные копии частично доступны. Сообщите, можете ли вы помочь с восстановлением.
Akira
Скоро дадим ответ.
Akira
Здравствуйте. Для начала пришлите 2-3 зашифрованных файла мы покажем, что способны их восстановить. Дополнительно: мы скачали 400 ГБ ваших конфиденциальных данных. В приложении списки файлов, которые мы забрали из вашей сети. Вы можете запросить любые 2-3 файла из этого списка как подтверждение наличия. За расшифровку и гарантированное удаление скопированных данных ваша компания должна выплатить 900 000 долларов США в биткоинах.
Список файлов: https://temp.sh/akira_dump_2024/all.txt
Жертва
есть кто?
Akira
Вы не видели наше предыдущее сообщение? Мы отправили список и условия сделки.
Классический ранний стиль переговоров Akira. Группа ведёт себя довольно жёстко и уверенно, но пока без сильного давления:
Они сразу подчёркивают, что сотрудничество «самый быстрый и дешёвый» вариант (стандартный приём, чтобы жертва не начала искать альтернативы).
Быстро переходят к доказательствам просят тестовые файлы и предлагают проверить любой файл из списка. Это типичная тактика, чтобы жертва поверила, что данные реально украдены.
Сумма в 900 000 $ высокая стартовая планка (особенно для 2023 года). В реальности по этому чату переговоры, судя по всему, ничем не закончились (final payment N/A), что часто бывает при слишком завышенном первоначальном требовании.
Реакция жертвы («knock knock !») выглядит как нервная или ироничная попытка привлечь внимание типичная для компаний, которые находятся в шоке и пока не готовы серьёзно торговаться.
Akira отвечает сухо и с лёгким раздражением («Don’t you see our previous message?») они явно не любят, когда жертва «играет в молчанку» или пытается затягивать.
В целом переписка короткая и обрывается на самом начале. Это показывает, что либо жертва отказалась продолжать общение, либо быстро нашла способ восстановиться из бэкапов (хотя они сами сказали, что бэкапы «limited»). Akira в тот период ещё не всегда была супер-агрессивной с утечками, но уже активно похищала данные (400 ГБ солидный объём для доказательства).
Группы вымогателей, включая операторов типа RomCom/SnipBot, размещают там файлы через цепочки редиректов с поддельных доменов. Temp.sh легитимный файлообменник с трёхдневным сроком хранения, который злоумышленники используют для хостинга вредоносных модулей и доказательств доступа.
Прямых подтверждений, что Akira использует temp.sh с конкретным паттерном пути, в открытых источниках нет. Для группы Akira публичные отчёты фиксируют использование Tor-инфраструктуры: переговорный портал
akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.