Akira 20230628 (80 messages)
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Akira
list.txt // 3,76 МБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Akira
Если мы не получим ответ в течение 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Akira
Вы можете найти себя в нашей новостной колонке: https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion/ Если вы хотите, чтобы этот пост был удалён, нам нужно о чём-то договориться.
Тактика раннего давления в диалогах Akira
Этот фрагмент показывает сжатую версию стандартного сценария группы. Атакующие сразу переходят к сути: нет долгих вступлений, нет проверки полномочий в начале. Вместо этого — готовый список файлов и ультиматум. Такой подход работает на жертвах, которые уже находятся в стрессе от шифрования и не готовы к длительным переговорам.
Фраза «самый быстрый и бюджетный способ» — не просто маркетинг. Это расчёт на то, что жертва сравнит стоимость выкупа с затратами на восстановление и простои. Для многих компаний 24 часа простоя обходятся дороже, чем требование вымогателей. Группа использует эту математику против жертвы.
Механика доказательства владения данными
Предложение выбрать 2-3 файла из списка и получить их в расшифрованном виде решает две задачи. Первая — техническая: жертва убеждается, что данные действительно у атакующих и расшифровка возможна. Вторая — психологическая: процесс выглядит как сервис, а не как угроза. Жертва начинает взаимодействовать, а не сопротивляться.
Размер файла list.txt (3,76 МБ) — косвенный индикатор объёма похищенных данных. Текстовый список с путями и метаданными такого веса может содержать десятки тысяч записей. Это даёт представление о масштабе компрометации без необходимости изучать сам файл.
Угроза публикации как рычаг давления
Дедлайн в 24 часа — рабочий инструмент, а не блеф. Группа действительно публикует данные на onion-сайте, если жертва молчит. Но важно, что ссылка даётся сразу, а не после истечения срока. Это переводит диалог из плоскости «если» в плоскость «когда и за сколько». Жертва видит, что публикация — не абстракция, а уже существующая страница, которую можно удалить только за деньги.
Формулировка «нам нужно о чём-то договориться» намеренно размыта. Нет требования конкретной суммы, нет жёстких условий. Это оставляет пространство для торга и создаёт у жертвы иллюзию, что она может повлиять на исход. На практике это лишь оттягивает момент финального требования.
Инфраструктурные маркеры
Использование onion-домена akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion для публикации утечек — стабильный индикатор группы. Адрес соответствует стандарту v3, что указывает на автоматизированное развёртывание. Публичные отчёты фиксируют периодическую смену таких адресов, но текущий остаётся активным.
Формат сообщений с указанием размера файла (list.txt // 3,76 МБ) — часть внутренней культуры группы. Такая аккуратность в деталях создаёт у жертвы ощущение профессионализма и снижает желание оспаривать артефакты.
Что зафиксировать в отчёте
Начальная тактика: мгновенный переход к доказательствам и ультиматуму без предварительных проверок. Это отличает ранние диалоги Akira от более затянутых сценариев других групп.
Дедлайн 24 часа — стандартный временной интервал для первого давления. Если жертва реагирует, группа переходит к торгу. Если нет — следует публикация.
Onion-ссылка на сайт утечек — ключевой индикатор для блокировки на уровне DNS и прокси. Даже если пост ещё не опубликован, сам домен стоит добавить в списки мониторинга.
Индикаторы для детекции
[√] Паттерн имён файлов: list.txt с указанием размера в МБ — может использоваться для сигнатурного детектирования в логах чатов
[√] Onion-домен akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion — добавить в блокировочные списки и настроить алерты на попытки доступа
[√] Формулировки «24 часа», «объявить об утечке», «договориться» — могут использоваться для поиска в логах коммуникаций при расследовании
[√] Предложение расшифровать 2-3 файла как доказательство — типичный паттерн для групп, работающих по модели двойного шантажа
Где проверить самостоятельно
Активность onion-адреса можно проверить через публичные зеркала даркнет-мониторинга или дайджесты от отечественных ИБ-сообществ
Паттерн имён файлов и формат сообщений стоит искать в логах корпоративных чатов и систем мониторинга инцидентов
Домены типа akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion можно мониторить через прокси-логи с алертами на попытки доступа к onion-ресурсам