Жертва 20231217 (67 сообщений)
Я не понимаю, что это такое.
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи и наберитесь терпения. Есть ли у вас полномочия вести переговоры от имени организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Да, я помощник ИТ-администратора.
Akira
listing_[redacted].txt // 724 КБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Мы изучаем ваши финансовые документы, чтобы сформировать обоснованное требование. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена. Если мы не получим ответ в течение 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Жертва
Полагаю, нам нужна помощь в расшифровке.
Akira
Скоро сообщим нашу цену за инструмент расшифровки.
Akira
Мы принимаем оплату в биткоинах. Чтобы получить биткоины, вам нужно зайти на любую биржевую платформу, например Binance или Coinbase. Вот руководства: https://www.coinbase.com/how-to-buy/bitcoin https://www.binance.com/en/how-to-buy/bitcoin Вы также можете купить биткоин у любых местных брокеров. Если вы снимаете средства со своего банковского счёта, то вы должны сообщить банку, что вам нужны эти деньги только для инвестиционных целей. Мы — те, кто может корректно расшифровать ваши данные и восстановить инфраструктуру за короткий срок.
После оплаты вы получите расшифровщик для каждой из ваших систем и инструкцию по его использованию для конкретного файла или системы. Вы сможете восстановить инфраструктуру в течение 24 часов. Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети и найденных уязвимостях. Более того, вы получите качественные технические рекомендации по устранению уязвимостей и укреплению сети для защиты внутренней и внешней инфраструктуры.
Вы также получите письменные гарантии, что мы сохраним эту беседу в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова. Наша цена — 200 000 долларов. Как только вы подтвердите сумму, я предоставлю ID нашего кошелька.
Akira
За 250 000 долларов мы также удалим ваши данные.
Жертва
Можете ли вы показать мне эти файлы: [redacted].doc [redacted].pdf [redacted].xlsx [redacted].xlsx [redacted].docx [redacted].docx
Жертва
Также вот несколько файлов для теста расшифровщика
Жертва
[redacted].doc.akira // 1,86 МБ
[redacted].pdf.akira // 115 КБ
[redacted].xlsx.akira // 14,7 КБ
Akira
Пожалуйста, подождите.
Akira
files.rar // 4,29 МБ
Akira
Вот файлы для подтверждения.
[redacted].doc // 1,86 МБ
[redacted].pdf // 115 КБ
[redacted].xlsx // 14,2 КБ
Вот расшифрованные. Готовы перейти к оплате?
Жертва
Благодарю. Мы пытаемся предложить любую сумму, так как находимся в совершенно незнакомой территории. Можем ли мы договориться на 50 000? Это много денег для нас.
Akira
Мы ценим ваше предложение, но оно далеко от справедливой сделки, которую мы пытаемся здесь достичь. В качестве доброй воли мы готовы принять 200 000 долларов, что вам по силам. Вы хорошо осведомлены о финансовых и репутационных последствиях в случае, если мы не придём к согласию. Давайте будем объективны.
Жертва
Мы понимаем, и поэтому пытаемся с одобрения предложить 95 000, чтобы заключить с вами сделку.
Akira Я обсужу с командой и вернусь.
Akira
Итак, мы можем принять 150 000 долларов как финальную сумму. Ниже не опустимся. Вот наш BTC-кошелёк [redacted] Решение за вами.
Жертва
Мы понимаем и согласны на сумму 150 000 долларов.
Жертва Е
сли вы можете подтвердить эти пункты сделки, значит мы договорились:
Жертва
- Расшифровщики сразу и полная помощь в расшифровке
- Подтверждение, какие файлы вы похитили — полный список файлов
- Гарантии никогда не публиковать и не продавать наши данные — и не разглашать ничего об этом инциденте
- Гарантии никогда не атаковать нас или наших клиентов в будущем
- Физическая копия всех похищенных данных — предоставить ссылку для скачивания
- После того как мы скачаем данные, ваше подтверждение и безопасное доказательство удаления
- Информация о том, как вы проникли в наши системы — отчёт по безопасности
- Когда мы подтвердим, вы удалите этот чат и все логи и другие данные об этом инциденте
Жертва
Пожалуйста, подтвердите и дайте знать, когда вы онлайн, чтобы передать нам расшифровщики
Akira
Мы подтверждаем. Скоро предоставлю наш BTC-кошелёк.
Akira
Вот кошелёк: [redacted]
Как скоро мы можем ожидать перевод? Ожидаем оплату до выходных.
Akira
Условия, о которых мы договорились, действительны до выходных.
Жертва
Подтверждение приветствуется.
Жертва
Мы сделаем перевод сегодня утром. Пожалуйста, подготовьте расшифровщики для немедленной передачи нам
Жертва
Мы видим 2 кошелька в чате. Пожалуйста, подтвердите, что мы должны перевести на последний: [redacted]
Akira
Мы готовы.
Жертва
Хорошо, мы скоро отправим на кошелёк: [redacted], ждите
Akira
Ждём.
Жертва
Перевод завершён. Можете проверить
Akira
win_unlocker_[redacted].ex_ // 759 КБ
Akira
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» — это список путей для расшифровщика, каждый путь с новой строки
Akira
Мы начали загрузку ваших данных в облачное хранилище Mega. Этот процесс займёт у нас примерно 2-3 дня.
Жертва
Спасибо, получили. Когда вы предоставите ссылку для скачивания данных?
Akira
Смотрите сообщение выше.
Жертва
Да, чат не обновился
Жертва
Можем ли мы получить отчёт по безопасности и информацию о том, как вы проникли в наши системы
Akira Первоначальный доступ к вашей сети был приобретён в даркнете. Затем был проведён керберостинг, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Akira
mega.nz [redacted]@proton.me w[redacted]
Пароль архива: [redacted]
Жертва
Один из файлов загрузился некорректно, не могли бы вы перезагрузить файл с названием [redacted].part6.rar
Akira
Файл корректен. Загрузка прервалась, и архив повредился. Мы ничего не можем с этим сделать.
Жертва То есть вы не можете загрузить его снова?
Здравствуйте? Файл в Mega один из них неполный. Вы остановили загрузку, можете ли вы положить его туда снова, пожалуйста, и если что-то не так, можете ли вы сказать, какие файлы там были?
Akira
Я передал это команде. Пожалуйста, подождите.
Жертва
Здравствуйте, как продвигается перезагрузка этого файла?
Akira Здравствуйте. Этот архив нельзя загрузить повторно, потому что он повредился, пока мы скачивали его ИЗ вашей сети. Мы получили этот архив таким. Извините за недопонимание.
Жертва
Хорошо, спасибо за помощь. Можете ли вы, пожалуйста, удалить все данные, которые у вас есть о ситуации, и предоставить доказательство безопасного удаления?
Akira
Конечно. Я предоставлю файл в течение 12 часов.
Akira
Deletion.7z // 87,3 КБ
Akira
Извините за задержку.
Почему восемь пунктов сделки важнее цены выкупа
В этом логе жертва не торгуется только о сумме. Она формулирует восемь конкретных условий: от расшифровщика до удаления чата. Такой подход меняет динамику. Атакующие вынуждены подтверждать каждый пункт, а не просто называть цену.
Подобная детализация редкость в переговорах с вымогателями. Обычно жертвы фокусируются на расшифровке и удалении данных. Здесь же добавлены требования о физической копии похищенных данных, отчёте о векторе проникновения и гарантиях непубликации. Жертва пытается зафиксировать обязательства в формате, близком к контракту.
Атакующие соглашаются без сопротивления. Для них подтверждение условий — не уступка, а способ ускорить оплату. Чем чётче жертва формулирует ожидания, тем меньше вопросов возникнет после перевода средств.
Облачное хранилище как канал передачи данных
Группа использует Mega.nz для передачи похищенных данных жертве после оплаты. Выбор платформы не случаен. Mega предлагает сквозное шифрование, анонимную регистрацию и возможность установки пароля на архив. Для атакующих — способ минимизировать следы. Для жертвы — дополнительный барьер: нужно скачать, распаковать, проверить целостность.
Проблема с повреждённым файлом .part6.rar вскрывает уязвимость такого подхода. Если эксфильтрация прервалась на стороне жертвы, атакующие не могут восстановить файл. У них нет исходных данных — только то, что удалось выгрузить. Для компании, которая платит за «полную копию», — неприятный сюрприз.
Подобные инциденты фиксируются в отчётах исследователей. При атаках на большие объёмы данных эксфильтрация часто идёт частями, и обрывы соединения приводят к потере фрагментов . Жертве стоит проверять целостность архива сразу после скачивания, а не в процессе анализа.
Роль ИТ-администратора в переговорах
Жертва представляется как «помощник ИТ-администратора». Это влияет на ход диалога. Технический специалист фокусируется на проверке расшифровщика, запросе отчёта, уточнении параметров запуска. Финансовые вопросы отходят на второй план.
Атакующие адаптируются: дают инструкции по покупке биткоина, объясняют параметры командной строки, предоставляют ссылки на руководства. Они понимают: если техническая команда убедится в работоспособности инструмента, решение об оплате примет руководство быстрее.
Подобная тактика характерна для группы. В других кейсах операторы также переключаются между техническими и финансовыми аргументами в зависимости от роли собеседника . Для специалистов по реагированию — сигнал: если в переписке появляются вопросы про параметры расшифровщика или векторы проникновения, вероятно, на связи технический сотрудник, а не лицо, принимающее финансовые решения.
Быстрое закрытие сделки: 67 сообщений против 100+
Этот диалог короче большинства предыдущих кейсов. Жертва соглашается на 150 000 долларов после двух раундов торга. Атакующие не эскалируют угрозы, не публикуют данные, не требуют срочной оплаты.
Причина — в чёткой позиции жертвы. Она сразу обозначает готовность платить, запрашивает подтверждение условий, оперативно проводит перевод. Для атакующих — минимальный риск срыва сделки. Они получают оплату без дополнительных усилий.
Подобная динамика встречается в кейсах, где жертва имеет полномочия принимать решения или быстро координирует действия с руководством. В отчётах по группе отмечается, что скорость закрытия сделки часто зависит не от суммы, а от ясности коммуникации и наличия у собеседника права подписи .
Что зафиксировать в отчёте
Траектория торга: 200к → 150к (25% дисконт) референс для оценки реалистичности требований в кейсах с техническими специалистами на связи.
Использование Mega.nz с паролем на архив индикатор пост-операционной передачи данных, требующий проверки целостности скачанных файлов.
Восемь пунктов сделки как формат фиксации обязательств маркер для классификации кейсов, где жертва пытается детализировать условия возврата.
Упоминание «помощник ИТ-администратора» индикатор роли собеседника, который влияет на тактику атакующих в диалоге.
Индикаторы для детекции
[√] Паттерн имён файлов: listing_[redacted].txt, win_unlocker_[redacted].ex_ архивы со списками и расшифровщиками как маркеры коммуникации с группой
[√] Параметры расшифровщика -p, -s сигнатура для детектирования попыток запуска официального инструмента
[√] Упоминание Mega.nz, proton.me в переписке индикатор использования облачных платформ для передачи данных после оплаты
[√] Формулировки про «помощник ИТ-администратора», «техническая команда» маркер для классификации роли собеседника в переговорах
Где проверить самостоятельно
Логи загрузки файлов с Mega.nz можно сверить с временем инцидента для выявления аномальной активности после оплаты
Формулировки про детализацию условий сделки стоит использовать для классификации кейсов при анализе тактик группы
Хеши расшифровщика и параметры командной строки можно сверить с публичными базами индикаторов для корреляции с другими инцидентами
Активность группы можно мониторить через публичные отчёты: по данным на 2024 год, группа продолжает развивать инфраструктуру и адаптировать тактику под разные типы жертв