Жертва 20231209 (112 сообщений)
Здравствуйте, наши серверы заблокированы, и мы просим вас разблокировать их. Мы небольшой семейный бизнес и полагаемся на наши компьютеры. Спасибо.
Жертва
Здравствуйте
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Есть ли у вас полномочия вести переговоры от имени организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Можете ли вы сказать, чего вы ожидаете за разблокировку? Нам нужны наши серверы. Спасибо.
Жертва
Да, у меня есть
Akira
[redacted]_lisling.txt // 2,22 МБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Мы изучаем ваши финансовые документы, чтобы сформировать обоснованное требование. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Жертва
Нам интересно увидеть цены по пунктам 1,2,3,4,5 чтобы понять.
Жертва
Итак, полный пакет
Жертва
Здравствуйте, можем ли мы получить предложение?
Akira
Конечно. Подождите немного.
Akira
Полный пакет обойдётся вам в 180 000 долларов, где полная помощь в расшифровке стоит 100 000 долларов, подтверждение удаления данных — 70 000 долларов, а отчёт — 10 000 долларов. Все гарантии предоставляются по умолчанию.
Жертва
Мы просим снизить цену. Это огромная сумма для нашей компании. Можем ли мы получить цену в несколько десятков тысяч? Это действительно много. Я умоляю вас от своего имени, от имени моей семьи и наших сотрудников.
Жертва
Пожалуйста
Akira
Вы заинтересованы в полном пакете, верно? Если вы сможете организовать оплату в течение следующих 2-3 дней, мы рассмотрим скидку, но она не превысит 20%.
Жертва
Мы могли бы заплатить через 2-3 дня 40 000 долларов за расшифровку, и я прошу, чтобы вы не атаковали нас снова и удалили данные.
Akira
140 000 долларов, и вы получите все наши услуги.
Жертва
Я прошу вас поддержать нас. Мы такие же люди, как и вы.
Жертва
Мы не корпорация
Жертва
Это столько, сколько мы можем дать сейчас за расшифровку, чтобы мы могли восстановить данные, а затем обсудим дальше.
Akira
Я понимаю вашу ситуацию. Я не принимаю решения здесь, я просто посредник. Поэтому, пожалуйста, постарайтесь собрать больше средств, и мои начальники смогут помочь. У нас есть внутренняя политика, и мы не можем принимать такие маленькие суммы. Спасибо за понимание.
Жертва
Пожалуйста
Akira
Поднимите сумму до шестизначной, и мы пожмём руки.
Жертва
Я прошу вас ответить на наш последний запрос.
Жертва
60 000 долларов пожалуйста
Жертва
Пожалуйста
Akira
120 000 долларов, и мы пожмём руки.
Жертва
Мы можем заплатить максимум 70 тысяч. Пожалуйста, мы небольшой бизнес, который каждый день борется за каждый цент. Для нас это шок. Пожалуйста, пощадите нас. Давайте найдём соглашение на эту разумную сумму.
Akira
Мы высоко ценим вашу готовность работать с нами и видим, как вы цените свой бизнес, но мы не можем принять эту сумму. Мы провели встречу, в результате которой высшее руководство решило сделать ещё один шаг навстречу и снизить до 105 000 долларов. Давайте просто разделим разницу между вами и нами и завершим это. Как только вы подтвердите сумму, я предоставлю наш кошелёк, и мы начнём готовить все материалы.
Жертва
Здравствуйте, мы принимаем 105 000 долларов. Как мы узнаем, что получим полный пакет и доверяем, что всё будет урегулировано и нас не атакуют снова? Получим ли мы полный пакет? Как нам платить?
Akira
Это хорошо. После получения перевода мы предоставим вам инструмент расшифровки и остальное, включая наши гарантии не атаковать вас снова. Скоро вам будет предоставлен ID нашего BTC-кошелька.
Akira
Вот BTC-кошелёк [redacted] Дайте знать, когда мы можем ожидать перевод.
Жертва
Я предполагаю, это оплата в биткоинах. У нас нет биткоин-счёта в компании, и я также не использую его лично. Я начал процедуру открытия счёта лично, потому что это намного быстрее, чем открытие для компании. Мне всё ещё нужно перевести деньги со счёта компании на мой личный, затем на Bitstamp, затем на ваш кошелёк. Я сейчас жду от банка, могут ли они отправить деньги на мой личный счёт, так как наша платёжная система зашифрована. Затем я надеюсь, что Bitstamp обработает быстро, и мы урегулируем всё сегодня. Как долго это займёт, чтобы мы получили всё вышеперечисленное после получения вами оплаты? Спасибо.
Жертва
Мы хотели бы быть уверены, что расшифровка работает. Пожалуйста, можете ли вы отправить нам файлы /home/[redacted].pdf /home/[redacted].pdf /home/[redacted].pdf
Жертва
Также мы хотели бы быть уверены, что ключ расшифровки работает. Вы зашифровали нашу виртуальную среду, поэтому у нас нет доступа к файлам, только к файлам vmdk. Можем ли мы загрузить файл vmdk?
Akira
Вы получите все расшифровщики сразу после оплаты. Пожалуйста, загрузите файл vmdk. Мы также скоро предоставим вам запрошенные файлы.
Жертва
Здравствуйте, я жду, пока деньги поступят на Bitstamp, затем я сначала переведу 0,01 BTC, чтобы вы подтвердили мне получение. Затем остальное (и после теста на вышеуказанных файлах).
Жертва
[redacted].vmx.akira // 4,6 КБ
Жертва
[redacted].log.akira // 1,86 МБ
Жертва
vmdk невозможно загрузить, он весит 16 ГБ
Akira
Мы расшифруем загруженный файл. Пожалуйста, подождите.
Жертва
Здравствуйте, когда мы можем ожидать расшифрованные файлы?
Жертва
Мы сейчас перевели наши средства на Bitstamp, однако они заблокировали нас из-за нового счёта и необычно большой суммы, и там открыто дело, что мы сможем произвести оплату.
Жертва
[redacted] — Bitstamp.pdf // 44,3 КБ
Жертва
Здравствуйте, мы очень просим о скорейшем разрешении. Пожалуйста.
Akira Здравствуйте. Пожалуйста, будьте терпеливы с нами. Мы предоставим всё в ближайшее время.
Akira
[redacted].log // 1,86 МБ
Akira
[redacted].vmx // 4,09 КБ
Жертва
Спасибо. Файлы в порядке.
Жертва
Я открыл личный счёт на Bitstamp и положил на счёт 105 000 долларов. Я сейчас прохожу процедуру комплаенса на Bitstamp из-за большой суммы транзакции, и мы настаиваем на них, чтобы они сняли ограничения безопасности, чтобы мы могли перевести средства. Мы сообщим вам немедленно.
Akira
Как ваш прогресс с оплатой?
Жертва Я открыл личный счёт на Bitstamp и положил на счёт 105 000 долларов. Я сейчас прохожу процедуру комплаенса на Bitstamp из-за большой суммы транзакции, и мы настаиваем на них, чтобы они сняли ограничения комплаенса, чтобы мы могли перевести средства. Мы сообщим вам немедленно.
Жертва
[redacted] — Bitstamp.pdf // 44,3 КБ
Жертва
в pdf скриншот из Bitstamp. Надеюсь, они решат это как можно скорее, чтобы мы отправили оплату.
Akira
Спасибо. Держите нас в курсе, пожалуйста.
Жертва
Я только что получил информацию от некоторых людей в словенском Bitstamp, что мы можем ожидать ответ от отдела комплаенса завтра.
Akira
Хорошо.
Жертва
Доброе утро. Я всё ещё жду, что Bitstamp откроет мой счёт для покупки BTC и перевода…
Akira
Мы ждём.
Жертва
Здравствуйте, я, к сожалению, всё ещё жду, что Bitstamp разблокирует мою торговлю, несмотря на множество напоминаний. Скриншот во вложении.
Жертва
Status at Bitstamp.jpg // 85,6 КБ
Akira
Вам нужно заверить их, что вы используете свои средства в инвестиционных целях.
Жертва
Здравствуйте, мы ещё не получили ответа от Bitstamp, и, как я понимаю, мой счёт Bitstamp помечен красным флагом, так как я положил такую большую сумму денег. Мы в отчаянии, и наш бизнес начал серьёзно страдать, заказы отменяются, так как мы не можем работать. Можете ли вы, пожалуйста, расшифровать нас? Мы заплатим в любом случае. Можете ли вы помочь нам, как заплатить?
Akira
Мы не можем предоставить ничего до оплаты. Я узнаю, как мы можем помочь.
Akira
Что ответил поддержка Bitstamp?
Akira
Не могли бы вы предоставить нам больше деталей?
Жертва Они ответили только, что они обрабатывают, и телефонная поддержка говорит, что это в отделе комплаенса и было эскалировано на более высокий уровень. Мы связались с некоторыми людьми из Bitstamp здесь, в Словении, чтобы помочь нам ускорить процесс. Надеюсь получить ответ как можно скорее. Я сегодня открыл счёт также на другой бирже, и я попробую продолжить и там (Swissborg), если Bitstamp не сработает. Можете ли вы помочь мне, какие есть другие варианты?
Жертва
Status Bitstamp [redacted].jpg // 101 КБ
Akira
Пожалуйста, подождите.
https://www.csoonline.com /article/570047/how-to-buy-bitcoin-for-ransomware-payment-if-you-must[.]html
Akira
Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например binance или coinbase. Вот руководства:cyberscoop.comhttps://www.coinbase.com/how-to-buy/bitcoin https://www.binance.com/en/how-to-buy/bitcoin Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то вы должны сообщить банку, что вам нужны эти деньги только для инвестиционных целей. Дополнительно, возможно, этот заголовок поможет:cyberscoop.com
Жертва
Спасибо за эту информацию. Мы сделали именно это со вторым счётом на [redacted]. Только для инвестиционных целей. Я прочитаю вашу ссылку, и я искренне надеюсь, что завтра это будет урегулировано.
Akira
Мы тоже надеемся. Спасибо.
Жертва
Доброе утро. Просто обновление. Оплата прошла сегодня утром с моего банка на Swissborg. Я буду держать вас в курсе в течение дня о прогрессе.
Akira
Спасибо.
Жертва
Здравствуйте. Я предоставляю последнее обновление. Сегодня в 8:45 я оплатил деньги на счёт банка [redacted] на Мальте, и теперь я всё ещё жду, что их система обработает оплату и что эта оплата отобразится в моём приложении [redacted] на телефоне. Они говорят, что это занимает от 1 до 3 дней. Поскольку я оплатил через SEPA-платёж, я предполагаю, что деньги должны отобразиться в приложении, если не сегодня, то в крайнем случае в понедельник. Я заранее проверил процедуру комплаенса на [redacted], и у меня есть все документы для комплаенса, поэтому я не ожидаю проблем с комплаенсом, и я тогда куплю биткоины и переведу их на ваш кошелёк. Спасибо за терпение.
Жертва
Если вам нужна какая-то информация для доказательства вышеизложенного, дайте знать. Bitstamp украл у нас два дня.
Akira
Спасибо за обновление. Мы ждём.
Жертва
Доброе утро. Я жду, что деньги поступят на крипто-счёт…
Akira
Утро. Мы тоже ждём.
Жертва
Здравствуйте. Я в отчаянии пишу, я всё ещё не смог перевести деньги со своего банковского счёта на свой счёт [redacted]. Я отправил деньги в пятницу в 8:45 через банк [redacted] в Словении, и они отправили мне подтверждение в пятницу. Сегодня они позвонили мне, что их материнский банк [redacted] не смог отправить деньги на счёт [redacted] на Мальте. Я пошёл сегодня в 15:30 лично в банк [redacted] здесь, в Словении, и они сказали, что сделали SEPA-платёж, поэтому я ожидаю, что у меня будут деньги на счёте [redacted] завтра. Я совершенно расстроен из-за этого, но я не могу помочь. Я верю, что деньги поступят на этот счёт [redacted], и что я куплю и перешлю BTC завтра. Нам действительно нужна разблокировка здесь. Люди в компании стали совершенно подавлены, и я тоже. Мы решим эту оплату, а затем действительно просим, чтобы расшифровка была сделана доступной срочно, чтобы мы могли начать расшифровку немедленно. Спасибо вам заранее.
Akira
Вы получите расшифровщики сразу после оплаты.
Жертва
Утро. Я вижу, деньги ушли с моего банка [redacted] сегодня утром. Теперь я жду, что они появятся в моём приложении [redacted]… Держу вас в курсе.
Жертва
Здравствуйте, я только что протестировал вывод BTC на 0,008 BTC со своего счёта [redacted], как это работает. Не могли бы вы проверить, получили ли вы. На [redacted] у меня иначе только лимит 11 000 евро в месяц, поэтому мне всё ещё придётся ждать [redacted].
Akira
Пока ничего не получили.
Жертва
Это заняло некоторое время. Теперь я вижу на blockchain.com, что есть 0,008 BTC в вышеуказанном кошельке [redacted]. Можете ли вы перепроверить?
Жертва
Не могли бы вы проверить и подтвердить, что вы получили 0,008 BTC?
Akira
0,008 BTC получено.
Жертва
Спасибо. Я делаю всё, чтобы вы получили разницу до 105 000 долларов в течение следующих двух часов, и буду держать вас в курсе. Я очень прошу, чтобы мы получили эти расшифровщики тогда как можно скорее, чтобы мы могли начать расшифровку сегодня. Спасибо.
Akira
Спасибо. Мы готовы.
Жертва
Здравствуйте, мой контакт в часовом поясе GMT+9, поэтому я жду, что он проснётся и переведёт. Я буду онлайн снова около полуночи по центральноевропейскому времени.
Жертва
Банки занимают слишком много времени.
Akira
Понял, спасибо.
Жертва
Здравствуйте, просто информирую, что оплата [redacted] btc была инициирована.
Жертва
Во вложении вы найдёте ссылку на транзакцию
https:// blockstream.info /tx / [redacted]
Жертва
therecord.media
Жертва
Я теперь прошу, чтобы вы предоставили нам, как обсуждали, полный пакет:
- полная помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Жертва
Мы извлечём урок из этого…
Akira
Я вижу. Пока не подтверждено.
Akira
unlockers.7z // 1,55 МБ
Akira
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» список путей для расшифровщика, каждый путь с новой строки те же аргументы работают с расшифровщиком ESXi
Жертва
Здравствуйте, спасибо за расшифровщик. Можем ли мы, пожалуйста, получить инструкции, как разблокировать платформу VMware?
Akira
Для каждой системы есть свой расшифровщик. Если это ESXi вы должны использовать расшифровщик для Linux. Если мы говорим о Windows, вы должны использовать .exe расшифровщик.
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» это список путей для расшифровщика, каждый путь с новой строки те же аргументы работают с расшифровщиком ESXi
Жертва
Здравствуйте, когда мы можем ожидать доставку 2) подтверждение удаления данных; 3) отчёт об уязвимостях, которые вы нашли?
Akira
Я предоставлю через час.
Akira
[redacted]_dellog.txt // 2,54 МБ
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете. Затем был проведён керберостинг, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Мы гарантируем, что не продадим и не опубликуем ваши данные, сохраним эту беседу в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за сотрудничество и внимательное отношение к вашей безопасности.
Жертва
Спасибо!
Жертва
Возможно ли поделиться, что означает первоначальный доступ? Какая учётная запись (я предполагаю, также пароль) была доступна в даркнете?
Жертва
По крайней мере информация об учётной записи и был ли также доступен пароль? Спасибо.
Akira
Это были учётные данные VPN. Мы получаем доступ от разных людей в даркнете, эта информация не в публичном доступе. Мы рекомендуем вам изменить учётные данные VPN и пересмотреть вашу политику паролей больше не о чем беспокоиться.
Жертва
Спасибо!
Akira
Пожалуйста.
Почему банки стали главным врагом в переговорах с вымогателями
Этот кейс выделяется тем, что основным препятствием для завершения сделки стали не моральные дилеммы или технические сложности, а банальные процедуры комплаенса криптобирж. Жертва потратила дни не на торг, а на попытки убедить Bitstamp и Swissborg, что крупная транзакция — это «инвестиции», а не что-то подозрительное.
Это не помощь в классическом смысле прагматичное ускорение процесса, от которого зависит их доход. Атакующие реагируют на это терпеливо, но без сочувствия. Они дают ссылки на руководства по покупке биткоина, включая статью с советами для случаев, когда «вы должны заплатить выкуп»cyberscoop.com
Как семейный бизнес торгуется без рычагов
Жертва начинает с позиции слабости: «мы небольшой семейный бизнес», «мы не корпорация», «это шок для нас». Это не стратегия, а реальность. В отличие от крупных компаний, у малого бизнеса нет резервов, нет выделенного бюджета на инциденты, нет юристов для ведения переговоров.
Атакующие используют это, но не давят до разрыва. Они снижают цену поэтапно: 180к → 140к → 120к → 105к. Каждый шаг сопровождается требованием «поднимите сумму до шестизначной». Это не уступка, а фильтр: если жертва не может собрать минимум 100к, сделка теряет смысл для атакующих.
Финальная сумма в 105 000 долларов 42% дисконт от стартовой цены. Это выше среднего по рынку, но объяснимо: малый бизнес не может быстро мобилизовать средства, и атакующие готовы принять меньше, чем ничего.
Почему VMware и ESXi стали мишенью
В диалоге жертва упоминает файлы .vmdk и .vmx образы и конфигурации виртуальных машин VMware. Атакующие подтверждают, что у них есть отдельный расшифровщик для ESXi, и дают инструкции по использованию.
Шифрование на уровне ESXi позволяет парализовать всю виртуальную инфраструктуру сразу, а не по одной виртуальной машине. Для жертвы это означает, что восстановление требует не только расшифровщика, но и понимания, как работать с инструментом на уровне гипервизора.Это не случайность. Группа Akira с 2023 года активно развивает Linux-версию шифровальщика для атак на гипервизоры.
Важно, что расшифровщик требует явного указания пути через параметр -p или файла со списком путей -s. Это не баг, а особенность дизайна: инструмент не сканирует диск автоматически, чтобы избежать случайного повреждения или триггеров EDR.
Как VPN-учётные данные становятся точкой входа
Атакующие прямо говорят: «первоначальный доступ к вашей сети был приобретён в даркнете» и уточняют, что это были «учётные данные VPN». Это не абстракция — это конкретный вектор, который фиксируется в отчётах по группе.
Для специалистов по безопасности это сигнал: если в логах есть аномальные входы через VPN с последующим горизонтальным перемещением может быть ранним индикатором подготовки к шифрованию.Akira часто использует скомпрометированные VPN-учётные записи для первоначального доступа, особенно если многофакторная аутентификация не настроена.
Рекомендация атакующих «измените учётные данные VPN и пересмотрите политику паролей» звучит цинично, но технически верна. Если доступ был куплен на форуме, смена паролей и включение MFA закрывает этот вектор для повторного использования.
Что зафиксировать в отчёте
Траектория торга: 180к → 105к (42% дисконт) референс для оценки реалистичности требований в кейсах с малым бизнесом.
Упоминание процедур комплаенса криптобирж (Bitstamp, Swissborg) маркер, что задержки оплаты могут быть связаны с внешними регуляторными процедурами, а не с нежеланием жертвы платить.
Файлы с расширениями .vmdk.akira и .vmx.akira — индикатор атаки на виртуализированную среду, требующий отдельной проверки целостности гипервизора и наличия расшифровщика для ESXi.
Упоминание «учётные данные VPN» как источника первоначального доступа индикатор для проверки логов аутентификации и настройки MFA на периметре.
Индикаторы для детекции
[√] Паттерн имён файлов: [redacted]_lisling.txt, unlockers.7z архивы со списками файлов и расшифровщиками как маркеры пост-операционной коммуникации
[√] Параметры расшифровщика -p, -s с упоминанием совместимости с ESXi сигнатура для детектирования попыток запуска официального инструмента группы
[√] Упоминание криптобирж (Bitstamp, Swissborg, Binance) в переписке с вымогателями — маркер этапа оплаты, который можно использовать для классификации стадии инцидента
[√] Формулировки про «учётные данные VPN», «компрометация доступа» индикатор для корреляции с логами аутентификации и выявления аномальных входов
Где проверить самостоятельно
Логи VPN-аутентификации на предмет аномальных входов с последующим горизонтальным перемещением можно проверить через SIEM-правила, настроенные на детектирование компрометации учётных записей
Формулировки про криптобиржи и комплаенс в переписке стоит использовать для классификации кейсов, где задержки оплаты связаны с внешними процедурами
Хеши расшифровщика unlockers.7z и параметры командной строки можно сверить с публичными базами индикаторов для корреляции с другими инцидентами группы
Активность группы можно мониторить через публичные отчёты: по данным на 2024 год, группа заработала около 42 миллионов долларов на более чем 250 атаках