Akira 20230707 (37 сообщений)
Поздравляем, вы прошли внезапный аудит информационной безопасности и стали жертвой программы-вымогателя. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Akira
list.7z // 493 КБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливую сумму требования. Скоро сообщу итог. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Akira
Если мы не получим от вас ответ, мы будем вынуждены опубликовать ваши данные в нашем блоге.
Жертва
Здравствуйте, мы сейчас изучаем отправленный вами список.
Akira
Хорошо. Ждём запрос файлов завтра.
Akira
Здравствуйте. Вы проверили список?
Жертва
Здравствуйте, мы всё ещё изучаем список, но отправим вам файлы, как только закончим. Это весь список? Мы хотим убедиться перед отправкой запросов.
Akira
Да, это всё.
Akira
Мы готовы установить цену в 350 000 долларов США за ВСЕ услуги, которые мы предлагаем.
Жертва
Вы советовали нам запросить некоторые файлы из отправленного списка. Мы хотели бы запросить следующие: [redacted].xlsx [redacted]-2023.xlsx [redacted]23.docx
Akira
[redacted]2023.xlsx // 336 КБ
Akira
[redacted].xlsx // 15,6 КБ
Akira
[redacted]23.docx // 1,84 МБ
Akira
Пожалуйста, проверьте файлы.
Жертва
Хорошо, спасибо, мы проверяем. Нам ещё нужно время, чтобы изучить весь список, и мы немного обеспокоены вашей ценой. Не думаю, что мы сможем позволить себе 350 000, и нет гарантии, что вы просто не заберёте деньги и не исчезнете. Как мы должны доверять этому процессу?
Akira
Если мы получим оплату в течение следующих 48 часов, мы предоставим вам скидку 20%. После оплаты вы получите лог удаления, что означает полное форматирование и очистку дисков, на которых хранилась единственная копия ваших данных. Нет смысла обманывать вас, поскольку мы ценим нашу репутацию, и вы не найдёте ни одного случая, когда мы не выполнили соглашение. Если мы не придём к согласию, мы не только опубликуем ваши данные, но и уведомим всех ваших клиентов, партнёров, сотрудников и так далее. В некоторых случаях им будут даны инструкции, как правильно подать иск. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети и найденных уязвимостях. Более того, вы получите качественные технические рекомендации по устранению уязвимостей и укреплению сети для защиты внутренней и внешней инфраструктуры. Вы также получите письменные гарантии, что мы не продадим и не опубликуем ваши данные, сохраним эту беседу в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Жертва
Мы понимаем и благодарим за информацию. Мы уже в процессе выяснения, сколько именно можем вам предложить, но это будет далеко от названной вами цены. Обновим, как только сможем. Я знаю, вы сказали, что можете разблокировать наши файлы — можем ли мы отправить вам несколько? У нас есть несколько типов файлов, которые нас беспокоят.
Akira
Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла размером до 10 МБ каждый в наш чат, и мы вернём расшифрованные копии. Наш инструмент работает с любой системой и форматом файлов. Что касается вашего предстоящего предложения, мы ещё не обсуждали никакие скидки, так что вы ошибаетесь — вам нужно максимально приблизиться к нашему первоначальному требованию, чтобы завершить это. Спасибо.
Жертва
Многие наши файлы больше 10 МБ, как мы узнаем, что расшифровка сработает на таких больших файлах? Также вы упоминаете скидку — это то, что вы можете для нас сделать? Мы постараемся отправить вам файлы, но обеспокоены, что не можем отправить ничего меньше 10 МБ.
Akira
Вы можете предоставить нам один файл больше 10 МБ. Никто не собирается вас обманывать.
Жертва
Хорошо, спасибо, мы работаем над этим. Мы загрузим файл, как только он будет готов, мне просто нужно обсудить с другими, какие именно мы можем отправить.
Akira
Пожалуйста, ускорьтесь с вашей стороны. Никто не заинтересован в затягивании.
Жертва
[redacted].dwg // 10,4 МБ
Жертва
[redacted].pdf // 2,39 МБ
Akira
Пожалуйста, подождите расшифровки.
Akira
Пожалуйста, отправьте нам правильные файлы. Мы не видим признаков нашего инструмента.
Жертва
Эти файлы взяты с машин, которые вы заблокировали, и вы сказали, что этот инструмент будет работать. Это немного беспокоит, но давайте нашему ИТ-отделу взять ещё несколько файлов для отправки вам.
Akira
Мой технический отдел проверил эти файлы — они не зашифрованы, поэтому пожалуйста отправьте нам правильные файлы как можно скорее.
Жертва
Пожалуйста, попробуйте то, что я прикрепляю сейчас к чату
Жертва
EncryptedSample[redacted].zip // 9,18 МБ
Akira
Мы попробуем.
Жертва
Просто проверяю, что происходит? Ждём вашего ответа.
Akira
Пожалуйста, подождите.
Жертва
Здравствуйте? Вы ещё здесь? Мы ждём файлы.
Akira
Здравствуйте. Мы на месте. Я спросил мой технический отдел об этом.
Тактика психологического давления и работа с возражениями
Этот фрагмент показывает более зрелую стадию переговоров, где группа уже перешла от ультиматума к торгу. Ключевое отличие от ранних кейсов — атакующие активно работают с возражениями жертвы, а не просто повторяют требования.
Фраза «справедливая сумма» возвращается как инструмент легитимизации. Но теперь к ней добавляется конкретика: скидка 20% при оплате в течение 48 часов. Это создаёт иллюзию гибкости, хотя базовая сумма остаётся завышенной. Жертва начинает думать не «платить или нет», а «как получить скидку».
Механика доказательства и работа с техническими возражениями
Жертва задаёт правильный вопрос: как проверить расшифровку больших файлов, если лимит 10 МБ? Это попытка верификации без риска. Ответ атакующих («можете прислать один файл больше») показывает готовность к адаптации — но только в рамках контролируемого процесса.
Эпизод с «неправильными файлами» интересен вдвойне. Сначала жертва отправляет файлы, которые технический отдел Akira не распознаёт как зашифрованные. Это может быть как ошибка жертвы, так и проверка со стороны атакующих — насколько внимательно жертва готовит артефакты. Реакция группы сухая, без эмоций, но с чётким требованием: «отправьте правильные файлы».
Угрозы как структурированный аргумент
Блок про последствия отказа — не просто запугивание. Это продуманная последовательность: публикация данных — уведомление контрагентов — инструкции по искам. Каждый шаг усиливает давление на разные точки боли жертвы: репутация, юридические риски, отношения с клиентами.
Одновременно предлагается «отчёт об уязвимостях» с техническими рекомендациями. Это создаёт когнитивный диссонанс: те, кто угрожает, одновременно предлагают помощь. Для жертвы в стрессе это может выглядеть как единственный путь к восстановлению контроля.
Доверие как товар
Вопрос жертвы «как мы должны доверять этому процессу?» — ключевой момент. Ответ атакующих строится на двух опорах: репутация («вы не найдёте случая, когда мы не выполнили соглашение») и техническое доказательство (лог удаления, расшифровка тестовых файлов).
Это работает, потому что жертва уже вложила время и ресурсы в диалог. Чем больше усилий потрачено, тем сложнее отказаться от сделки — эффект потерь сильнее, чем надежда на альтернативу.
Что зафиксировать в отчёте
Начальная сумма 350 000 долларов со скидкой 20% при быстрой оплате — типичный паттерн для жертв среднего и крупного размера. Диапазон торга обычно составляет 40-60% от стартовой цены.
Лимит 10 МБ на тестовые файлы — технический маркер для детекции в логах чатов. Если жертва отправляет файлы большего размера, атакующие могут запросить исключение — это тоже индикатор.
Формулировки про «репутацию» и «лог удаления» — часть стандартного скрипта. Их наличие в переписке помогает классифицировать группу при сопоставлении с другими кейсами.
Индикаторы для детекции
[√] Паттерн имён файлов: list.7z, EncryptedSample[redacted].zip — архивы с префиксами list и EncryptedSample как маркеры коммуникации с вымогателями
[√] Упоминание скидки 20% при оплате в течение 48 часов — может использоваться для поиска в логах при расследовании инцидентов с похожей тактикой
[√] Формулировки «лог удаления», «рейдовые диски», «полное форматирование» — технические термины, которые группа использует для создания иллюзии контроля
[√] Структура угроз: публикация — уведомление контрагентов — инструкции по искам — последовательность, характерная для зрелых операторов двойного шантажа
Где проверить самостоятельно
Активность группы можно сверить с публичными базами утечек по тегу «Akira» в дайджестах отечественных ИБ-сообществ
Паттерны имён файлов и лимиты размеров стоит искать в логах корпоративных файлообменников и чат-систем
Формулировки про скидки и дедлайны можно мониторить в логах коммуникаций как сигнатуры для раннего обнаружения переговоров с вымогателями