Группа шифрует данные, похищает файлы и ведёт переговоры как служба поддержки, используя финансовый аудит жертвы для обоснования суммы выкупа и таймеры для создания искусственного дефицита времени на принятие решения
Жертва
Пожалуйста, подтвердите это сообщение
Akira
Здравствуйте Вы связались с чатом поддержки Akira. В настоящее время мы готовим список данных, которые мы взяли из вашей сети. Пока вы должны знать, что работа с нами лучший способ урегулировать вопрос быстро и дёшево. Будьте на связи и проявите терпение. Мы скоро свяжемся с вами. Есть ли у вас полномочия вести переговоры от имени вашей организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Да, есть
Akira
Пожалуйста, подождите.
Жертва
Просто проверяю, вы ещё здесь?
Akira
Мы здесь. Ждите детали.
Жертва
У вас уже есть детали?
Akira
[redacted].rar // 371 KB Эти файлы были взяты из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат в качестве доказательства владения. Чтобы доказать, что мы можем правильно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы загрузим обратно расшифрованные копии.
Мы просматриваем ваши финансовые документы, чтобы сформулировать для вас разумное требование. Мы предлагаем:
- полная помощь в расшифровке;
- подтверждение удаления данных;
- отчёт по безопасности о найденных уязвимостях;
- гарантии не публиковать и не продавать ваши данные;
- гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Жертва
Нам нужно несколько дней, чтобы посмотреть список и выбрать 2-3 файла. Я вернусь к вам в понедельник
Akira
Ожидаем.
Akira
Здравствуйте. Я жду файлы.
Akira
Итак, мы изучили ваши файлы, чтобы определить ваши финансовые возможности. Мы просматривали ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $300 000 за ВСЕ услуги, которые мы предлагаем:
- полная помощь в расшифровке;
- подтверждение удаления данных;
- отчёт по безопасности о найденных уязвимостях;
- гарантии не публиковать и не продавать ваши данные;
- гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену. На данный момент мы настоятельно рекомендуем обратиться к вашему киберстрахованию, чтобы быстро покрыть нашу сумму и минимизировать все предстоящие риски.
Жертва
Спасибо за обновление. Я очень скоро предоставлю вам имена файлов, и мы также обсудим цену, которую вы озвучили
Akira
Ожидаем.
Жертва
[redacted].pdf 2. [redacted].xlsx 3. [redacted].docx
Akira
[redacted].rar // 541 KB
Жертва
Я изучу их сегодня
Akira
Нам нужно перейти к вариантам оплаты.
Жертва
Хорошо, но сначала мне нужно увидеть доказательство помощи в расшифровке. Я предоставлю вам файлы сегодня
Akira
Ожидаем.
Жертва
[redacted].xml.akira // 518 KB [redacted].akira // 749 KB Вот
Akira
Пожалуйста, подождите.
Akira
[redacted] // 748 KB [redacted].xml // 517 KB
Жертва
Спасибо. Ожидается ли, что файлы станут на 1 КБ меньше после расшифровки?
Akira
Да, так и есть.
Akira
Готовы перейти к оплате?
Жертва
У нас больше нет вопросов на данный момент. Мы подтверждаем ваши возможности восстановить данные и детали о наших файлах. Я встречаюсь с нашим руководителем утром, чтобы обсудить наши следующие шаги, и я свяжусь с вами после этого
Akira
Ждём обновления.
Жертва
Вот обновление. Мы приняли к сведению, что всё ещё зашифровано, и финансовое влияние потери или восстановления этих данных. Я снова просчитываю цифры для подтверждения, но я не думаю, что это дотягивает до $300 000, которые были названы. Чтобы обсудить оплату, мы надеемся увидеть пересмотренную квоту, если вы можете её предоставить.
Akira
Сообщите, какую сумму вы считаете разумной, и я обсужу это с моей командой.
Жертва
Я подтвержу нашу оценку с моим руководителем и вернусь к вам после выходных
Akira
Ждём.
Akira
итак?
Akira
У вас есть 24 часа, чтобы дать нам решение по этой сделке. Если вы будете молчать, мы объявим о взломе в нашем блоге.
Akira
Вы можете найти название вашей компании в нашей колонке новостей: akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion Если вы хотите, чтобы этот пост был удалён, мы должны договориться о чём-то.
Akira
Ваши данные скоро будут доступны для скачивания.
Глубокий анализ тактики переговоров Akira
Сценарий переговоров в логе демонстрирует отлаженный алгоритм психологического давления, где техническая демонстрация возможностей (proof-of-decryption) служит не для убеждения в компетентности, а для снижения когнитивного сопротивления жертвы перед финансовым требованием. Группа использует модель двойного вымогательства, но с важным нюансом: они продают не просто ключ расшифровки, а пакет «гарантий», которые технически не могут быть верифицированы жертвой постфактум.
Как работает расчёт суммы выкупа
Злоумышленники проводят финансовый аудит жертвы до озвучивания цифры. Они анализируют банковские выписки, лимиты киберстрахования и аудиторские отчёты, чтобы определить максимальную сумму, которую организация теоретически может выплатить без банкротства. Этот подход превращает вымогательство в таргетированное ценообразование, где $300 000 — не случайная цифра, а результат анализа платёжеспособности.
Группа занимает второе место в мире по количеству атак, уступая только Qilin, и специализируется на секторах с высокой доступностью: производство, профессиональные услуги, финансовый секторwww.huntress.com. Их способность переходить от начального доступа к полному шифрованию сети менее чем за 4 часа означает, что у жертвы практически нет времени на восстановление из резервных копий до момента переговоровcybelangel.com
Почему они имитируют службу поддержки
Стиль общения «Standing by», «Please wait», структурированные списки услуг создают иллюзию легитимного сервиса. Это не случайность, а осознанная тактика снижения эмоционального напряжения у жертвы. Когда злоумышленник говорит как оператор техподдержки, у сотрудника на другой стороне провода активируются паттерны сотрудничества, а не конфронтации.
Контекст диалога показывает, что жертва ведёт себя рационально: запрашивает доказательство расшифровки, проверяет целостность файлов (замечает уменьшение размера на 1 КБ), запрашивает время на согласование. Akira отвечает на эти запросы, но каждый ответ содержит скрытый таймер: «Ждём», «У вас 24 часа», ссылка на блог утечек.
Техническая деталь про 1 КБ разницы
Вопрос жертвы про уменьшение размера файла после расшифровки важный момент. Разница в 1 КБ может возникать из-за удаления метаданных шифровальщика или заголовков, которые добавляются при инкапсуляции файла. Шифровальщик не просто применяет алгоритм (например, ChaCha20 или AES-256 в режиме CBC), он часто добавляет префикс с информацией о ключе, версии, контрольной сумме. При расшифровке этот служебный блок удаляется, что и даёт небольшое уменьшение размера.
Злоумышленники подтверждают это кратко: «Да, так и есть». Они не вдаются в объяснения, потому что детальная техническая дискуссия может дать жертве лишнюю информацию для анализа поведения малвари.
Как работает давление через публичность
.Угроза публикации в Tor-блоге (akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion) — это не блеф. Группа действительно ведёт активную практику публикации данных жертв, которые отказываются платить или затягивают переговоры. В ноябре 2024 они опубликовали данные 32 жертв за один день, что говорит о масштабах их операций.
Ссылка на блог в середине переговоров выполняет две функции:
- [√] Доказательство реальности угрозы жертва может самостоятельно проверить наличие других компаний в списке
- [√] Создание ощущения необратимости если пост уже на сайте, удаление требует отдельной договорённости
Что скрывается за пакетом «гарантий»
Пункты 4 и 5 (гарантии не публиковать и не атаковать в будущем) технически не верифицируемы. Нет криптографического или аппаратного механизма, который мог бы заставить злоумышленника выполнить обещание. Это социальный контракт, основанный на репутации группы в даркнете.
Три другие отказались, и их данные были опубликованы. Это означает, что гарантии имеют условную ценность: группа соблюдает их, только если это экономически целесообразно.Исследования показывают, что только одна из четырёх жертв, вступивших в переговоры с Akira, в итоге заплатила.
Почему они предлагают «отчёт по уязвимостям»
.Парадоксальный элемент: злоумышленники предлагают за деньги рассказать, как они взломали сеть. В одном из проанализированных случаев такой отчёт стоил $500 000 и содержал базовые рекомендации вроде включения 2FA и обновления ПОconscia.com
Это работает как психологический якорь: жертва начинает воспринимать выкуп не как потерю, а как инвестицию в безопасность. Но рекомендации в таких отчётах часто общие и не учитывают специфику инфраструктуры конкретной организации.
Чек-лист для оценки переговоров с вымогателями
[√] Зафиксируйте все технические артефакты диалога хеши файлов, временные метки, IP-адреса чата для последующего анализа и передачи правоохранительным органам
[это создаёт доказательную базу и помогает отследить инфраструктуру группы]
[√] Не загружайте в чат файлы, содержащие персональные данные или коммерческую тайну, даже в зашифрованном виде [зачем: злоумышленники могут использовать метаданные или побочные каналы для извлечения информации]
[√] Проверяйте целостность расшифрованных файлов на уровне контрольных сумм, а не только размера [зачем: уменьшение на 1 КБ может быть нормой, но изменение содержимого признаком манипуляции]
[ ] Учитывайте, что таймеры («24 часа») тактика создания искусственного дефицита времени, а не техническое ограничение [зачем: понимание этого снижает давление и позволяет принимать решения на основе фактов, а не эмоций]
[√] Согласуйте с юридическим отделом и страховой компанией статус переговоров до любого финансового обязательства [зачем: выплата выкупа может нарушать санкции или условия страхового полиса]
Что говорит статистика
Группа собрала не менее $245 млн с момента появления, причём медианный размер выкупа приближается к $1 млн. Франция и США остаются основными целями, но география расширяетсяc. При этом способность группы шифровать сеть менее чем за 4 часа означает, что традиционные стратегии восстановления из бэкапов часто не успевают сработать до начала переговоров.
Это создаёт ложное ощущение «гибкости», но на практике означает, что злоумышленники готовы торговаться, только если видят реальные риски срыва сделки. Интересный момент: в некоторых случаях группа снижает сумму, если жертве не нужен дешифратор, а только удаление данных из публичного доступа.
Личное наблюдение
Диалог заканчивается на угрозе публикации, но жертва не отвечает. В реальных случаях именно этот момент молчание после ультиматума часто становится переломным. Группа ждёт реакции 24-72 часа, затем публикует данные. Но иногда публикация не происходит, если жертва находит способ связаться через альтернативный канал или если страховая компания вступает в переговоры.
Не знаю, чем закончилась именно эта история. Но сам факт, что жертва заметила разницу в 1 КБ и задала технический вопрос, говорит о том, что на той стороне был не просто менеджер, а человек с пониманием процессов шифрования. Это редкость в таких сценариях.