Жертва 202030616 (80 messages)
Я здесь. Что вам нужно?
Жертва
Я на связи
Жертва
эй
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Есть ли у вас полномочия вести переговоры от имени организации?
Жертва
Да, я могу вести переговоры, но не имею права утверждать суммы выплат
Жертва
И я буду на связи
Akira
Мы предоставим все условия сделки в течение дня. Пожалуйста, оставайтесь на связи.
Akira
list.zip // 2,84 МБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии. Мы изучаем ваши финансовые документы, чтобы сформировать обоснованное требование. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена. Если мы не получим ответ в течение 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Жертва
Я скачал список файлов и изучу его с командой
Akira
Тем временем мы сформулируем справедливое требование к вам.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать требование. Мы готовы установить цену в 165 000 долларов США за ВСЕ услуги, которые мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Жертва
Спасибо за подробности. Я работаю над тем, чтобы получить 2-3 файла для расшифровки, и должен предоставить их завтра, но утром мне нужно улететь, так что пришлю, как приземлюсь. Поговорим завтра
Akira
Мы на связи, спасибо.
Жертва
[redacted].txt.akira // 26,8 КБ
Жертва
[redacted].xml.akira // 866 байт
Жертва
Извините за задержку, вот два файла. Мы работаем над тем, чтобы выбрать файл из списка для предоставления.
Akira
Мы скоро загрузим расшифрованные копии.
Akira
[redacted].txt // 26,3 КБ
Akira
[redacted].xml // 324 байта
Жертва
Получил, спасибо. Скоро предоставлю файлы, которые мы хотим получить от вас
Akira
Ждём.
Akira
Как долго нам ждать?
Жертва
Capture4.JPG // 33,5 КБ
Жертва
Capture5.JPG // 43 КБ
Жертва
Capture6.JPG // 32,3 КБ
Жертва
Вот три файла, которые мы хотели бы получить от вас.
Akira
Мы скоро загрузим файлы.
Akira
[redacted] Corporation.pdf // 389 КБ
Akira
[redacted].pdf // 107 КБ
Akira
[redacted].pdf // 235 КБ
Akira
Вы проверили файлы?
Жертва
Скачиваю их сейчас, спасибо за оперативность. Дам знать команде.
Akira
Дайте знать, когда проверите файлы и будете готовы продолжить.
Жертва
Забыл упомянуть, что сегодня и завтра в США крупный праздник, и большинство руководства нет до среды. Некоторые из нас, как я, всё ещё работают, но можем продолжить в среду?
Akira
Мы в курсе праздника. Спасибо. Да, можно. Но время идёт.
Akira
Здравствуйте. Мы опубликуем ваши данные на этой неделе. Спасибо.
Akira
Вы можете найти себя в нашей новостной колонке: https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion/ Если вы хотите, чтобы этот пост был удалён, нам нужно о чём-то договориться.
Жертва
Вижу, что вы разместили нас на сайте. Сколько времени у нас есть до публикации?
Жертва
Спрашиваем, потому что ваше требование для нас слишком велико
Akira
Публикация займёт 1-2 дня. Удалось ли вам собрать что-то, что вы можете нам предложить?
Жертва
Вы говорите, что готовы обсуждать снижение цены?
Akira
Это зависит от суммы, которую вы можете предложить прямо сейчас.
Жертва
Думаем, что можем собрать около 23-25 тысяч долларов в короткий срок.
Akira
Ни в коем случае. Мы не примем ничего меньше 100 тысяч долларов.
Жертва
Хм, это всё ещё слишком много для нас. Дайте подумать, что мы можем предложить в ответ. Скоро вернусь
Akira
Ждём.
Жертва
Поскольку вы разместили нас на вашем сайте позора, вы уже нанесли нам ущерб, и к нам обращаются юристы и клиенты, так что мы не можем вернуть джинна в бутылку. Я предлагаю 38 тысяч долларов в ответ.
Akira
Вы знаете нашу цену. То, что вы предлагаете, неприемлемо. Если у вас нет намерений сохранить ваши данные, мы загрузим их в наш блог.
Жертва
Вероятно, мы пропустили шаг. Нам не нужен ваш расшифровщик. Но мы не хотим, чтобы наши данные публиковали, если можем этого избежать, но не по вашей текущей цене
Akira
Понимаю. Мы можем удалить ваши данные за 80 000 долларов. Не меньше. После оплаты мы предоставим вам лог-файл удаления.
Жертва
Мы ценим вашу готовность работать с нами. Мы можем предложить 59 тысяч долларов США. Если вы согласны, мы можем произвести оплату оперативно, и если вы предоставите BTC-кошелёк, мы можем начать перевод средств на этот кошелёк
Akira
Я обсудил с руководством. Мы можем принять 75 000 долларов. Это окончательно. Нужен ли вам наш BTC-кошелёк?
Жертва
Хорошо, дайте подтвердить с командой. Скоро вернусь
Жертва
Пожалуйста, предоставьте BTC-кошелёк
Akira
Мы предоставим его вскоре.
Akira
Вот он: [redacted]
Akira
Как скоро вы сможете сделать перевод?
Жертва
Мне нужно согласовать ID кошелька, чтобы убедиться, что я могу оплатить, как мне сказали. Затем я смогу дать более точный ответ, но мы стараемся произвести оплату в начале следующей недели
Akira
Хорошо
Жертва
хорошо, мы близки к соглашению. Вот условия
Жертва
Мы заплатим 75 000 долларов на BTC-кошелёк [redacted] в обмен на удаление нас с вашего сайта, непубликацию и непередачу наших данных кому-либо, удаление любых упоминаний о нас в социальных сетях, удаление наших данных и предоставление доказательства удаления, указание способа проникновения в нашу сеть и обязательство не атаковать нас снова
Жертва
Вы согласны?
Akira
Мы подтверждаем условия.
Жертва
Можете подтвердить получение оплаты?
Жертва
Пожалуйста, предоставьте то, о чём мы договорились, и мы завершим сделку
Жертва
Я всё ещё вижу нас на вашем сайте позора
Akira
Оплата получена.
Akira
Пост удалён.
Akira
Мы предоставим вам отчёт и лог удаления в течение 24 часов.
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д. Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за сотрудничество и внимательное отношение к вашей безопасности. Лог удаления будет предоставлен позже.
Жертва
Спасибо за это. Проверю позже доказательство удаления
Akira
Конечно. Мы скоро загрузим его.
Жертва
Эй, прошло несколько дней с момента оплаты, можем ли мы завершить это сегодня?
Akira
Здравствуйте. Думаю, да. Постараюсь предоставить лог в течение нескольких часов.
Жертва
ок, спасибо
Akira
log_erase.7z // 327 КБ
Akira
Вот он наконец!
Жертва
спасибо
Akira
Пожалуйста.
Тактика ведения переговоров: от первого контакта до сделки
Группа начинает с позитивного фрейминга — «поздравляем с аудитом». Это не просто насмешка, а механизм переключения восприятия. Жертва перестаёт думать о взломе как о катастрофе и начинает воспринимать ситуацию как квази-сервисный инцидент, который можно «закрыть». Такой приём снижает сопротивление и ускоряет переход к торгу.
Фраза «справедливое требование» работает на легитимизацию вымогательства. Злоумышленники позиционируют себя не как преступников, а как «партнёров по урегулированию». Жертва начинает оценивать не «платить или нет», а «соответствует ли цена объёму ущерба». Это сдвигает переговоры в плоскость, выгодную атакующим.
Пункты предложения имитируют структуру легального контракта. Каждый пункт решает конкретную психологическую задачу: расшифровка снимает операционный паралич, подтверждение удаления даёт иллюзию контроля, отчёт об уязвимостях создаёт видимость ценности, гарантии формируют ложное доверие. Это не хаотичный набор, а продуманная последовательность.
Механика торга и управление временем
Атакующие используют дедлайны как рычаг давления. Угроза публикации через 24 часа — не блеф, а рабочий инструмент. Но при этом они гибко реагируют на запросы жертвы о переносе («праздник в США», «вернусь после посадки»). Это баланс: давление есть, но без разрыва контакта.
Жертва применяет тактику постепенного снижения: 165к → 25к → 38к → 59к → 75к. Каждый шаг сопровождается обоснованием («юристы звонят», «клиенты недовольны», «нам не нужен расшифровщик»). Это создаёт иллюзию, что жертва торгуется из позиции слабости, но при этом сохраняет контроль над темпом.
Ключевой момент — разделение услуг. Жертва явно говорит: «нам не нужен ваш расшифровщик». Это меняет структуру сделки: атакующие предлагают удалить данные за 80к вместо полного пакета. Такое разделение характерно для зрелых групп, которые готовы адаптировать предложение под потребности жертвы.
Инфраструктура коммуникаций и артефакты
Использование onion-сайта для публикации утечек — стандартная практика. Но важно, что ссылка даётся не как угроза, а как факт: «вы уже в новостях». Это переводит диалог из плоскости «если» в плоскость «когда и за сколько».
Форматы файлов в логе показывают аккуратность атакующих: последовательная нумерация, указание размеров, разделение на списки и доказательства. Это создаёт у жертвы ощущение профессионализма и снижает желание проверять каждый артефакт вручную.
Приватный BTC-кошелёк передаётся только после согласования финальной суммы. Это минимизирует риск фиксации артефакта до момента, когда жертва уже психологически готова к оплате.
Что зафиксировать в отчёте
Заявленная начальная сумма 165 000 долларов и финальная 75 000 долларов показывают типичный диапазон торга для жертв среднего размера. Это помогает калибровать ожидания при анализе других кейсов.
Использование праздника в США как фактора задержки — маркер, что атакующие отслеживают календарь жертвы. Это может указывать на предварительную разведку или наличие инсайдера.
Разделение услуг (расшифровка отдельно, удаление отдельно) — индикатор гибкости тактики. Группы, которые не готовы к адаптации, чаще теряют сделки при жёсткой позиции жертвы.
Предоставление «отчёта об уязвимостях» после оплаты — стандартный финальный шаг. Но содержание отчёта (базовые рекомендации вроде «меняйте пароли») показывает, что реальная ценность для жертвы минимальна. Это скорее ритуал завершения сделки, чем техническая помощь.
Индикаторы для детекции
[√] Паттерн имён файлов: [redacted].txt.akira, log_erase.7z — расширение .akira как маркер шифрования, префикс log_erase как маркер пост-операционных артефактов
[√] Использование onion-домена akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion для публикации утечек — добавить в блокировочные списки на уровне DNS и прокси
[√] Формат сообщений с перечислением услуг в виде нумерованного списка — может использоваться для сигнатурного детектирования в логах чатов
[√] Упоминание «темной сети» как источника первоначального доступа — маркер для корреляции с другими инцидентами, связанными с продажей доступов на форумах
Где проверить самостоятельно
Список активных onion-адресов по тегу «Akira» можно сверить с базами данных утечек от отечественных ИБ-сообществ
Паттерны имён файлов и расширения .akira стоит искать в логах EDR-систем за период инцидента
Домены типа privnote.com и temp.sh можно мониторить через корпоративные прокси с алертами на загрузку архивов и текстовых файлов