Гибридное шифрование ChaCha20+RSA у Akira не просто выбор алгоритма, а расчёт на то, что жертва не сможет восстановить ключи без секретного идентификатора сессии, который хранится только у злоумышленников
Группа теперь способна пройти весь путь от проникновения до полного шифрования сети менее чем за четыре часа. Это не просто «быстро». Это означает, что традиционные окна реагирования в 24-48 часов больше не работают. Если вы обнаруживаете аномальную активность в логах скорее всего, процесс уже необратим.
Ещё один момент, который редко обсуждают: Akira активно развивает Rust-варианты под кодовым названием Megazord и Akira_v2, заточенные под Linux и VMware ESXi. Почему это важно? Потому что виртуальные среды мультипликатор ущерба. Один запуск шифратора на гипервизоре может парализовать десятки виртуальных машин одновременно. Это не атака на сервер, это атака на инфраструктуру.
Группа демонстрирует экспоненциальный рост активности. Если вы работаете в производственном секторе, профессиональных услугах или технологиях вы в прицеле.
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Я обращаюсь к вам от имени [redacted] в связи с недавним инцидентом безопасности. Как уполномоченный сторонний переговорщик, я уполномочен наладить конструктивный диалог между вашей командой и нашей организацией. Во-первых, просим предоставить детальный список требований, чтобы понять масштаб и характер ваших запросов. Эта информация критична для продолжения обсуждений и оценки возможности удовлетворения требований. Во-вторых, для верификации и обеспечения целостности переговоров просим предоставить доказательства компрометации данных. Это должен быть исчерпывающий список всех данных, к которым был получен доступ, которые были скопированы или зашифрованы. Этот шаг необходим для точной оценки ситуации и принятия соответствующих мер с нашей стороны. Мы нацелены на разрешение ситуации и надеюсь на профессиональное и конструктивное взаимодействие. Пожалуйста, отправьте запрошенную информацию как можно скорее, чтобы мы могли продвинуться в переговорном процессе. Ждём вашего оперативного ответа.
Akira
Подождите немного.
Akira
List.zip // 712 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливое требование. Скоро сообщу сумму. Мы предлагаем:
1) полную помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Хотя это часть файлов с одного сервера, похоже, вы не предоставили полный список. Есть критически важные серверы приложений с базами данных, которые сейчас наиболее важны для бизнеса.
Victim
Вы просто шифруете файлы, не копируя данные с этих систем?
Victim
Мой клиент заинтересован в расшифровке и гарантиях, что данные не будут опубликованы. Пожалуйста, укажите справедливую и разумную цену. Эта компания не может позволить себе сотни тысяч долларов, и они открыты к быстрой сделке. Им нужно доказательство, что данные можно расшифровать, особенно их серверы SQL и приложений.
Victim
На одном из этих серверов приложений есть текстовый файл readme с кодом [redacted]
Akira
Мы зашифровали часть ваших серверов и извлекли данные, которые вы видите в списке.
Akira
Мы сообщим требование после изучения ваших финансовых файлов. Дайте мне 2-3 файла размером около 10 МБ для тестирования нашего инструмента расшифровки.
Victim
Не уверен, что это имеет значение
Victim
Понял. Моему клиенту нужно доказательство: если они заплатят за помощь в расшифровку, это сработает. Есть ли способ протестировать расшифровку на одной из их критически важных бизнес-систем? Что касается изъятых файлов — это вызывает беспокойство, но сейчас это меньшая проблема. Пожалуйста, предоставьте копии следующих файлов в качестве доказательства:
Victim
file_request.txt // 1.61 KB
Akira
Мы расшифровываем только те файлы, которые вы предоставите. Инструмент будет предоставлен после оплаты, и при необходимости мы окажем помощь. Если бы наш инструмент не работал, нам бы никогда не заплатили. Пожалуйста, подождите файлы.
Victim
Нет необходимости ничего изучать, вы ни к чему не придёте, просматривая их. Моему клиенту нужно быстрое решение для восстановления бизнес-сервиса сегодня, они заинтересованы в немедленном и быстром разрешении. Если они не смогут добиться этого сегодня, у них не будет денег, чтобы даже предложить вам, так как это приведёт к закрытию бизнеса.
Akira
Итак, вы собираетесь заключить сделку?
Victim
Сделка? Мы всё ещё ждём доказательств расшифровки, мы также ждём вашу цену. Вы нам ничего не дали.
Victim
[redacted].xlsx.akira // 2.75 MB
Victim
[redacted].xlsx.akira // 522 KB
Victim
Если мой клиент не сможет печатать документы завтра, он полностью закроется и не сможет заплатить вам ни копейки. Пожалуйста, ускорьте проверку и предоставьте нам расшифрованные файлы, чтобы подтвердить работоспособность
Victim
И пожалуйста, укажите ваше требование за расшифровку + сохранение их информации вне интернета.
Akira
Здравствуйте. Мы здесь, пожалуйста, подождите.
Akira
[redacted].xlsx // 2.75 MB
Akira
[redacted].xlsx // 522 KB
Akira
У нас были технические проблемы, поэтому я не мог связаться с вами раньше.
Akira
4 миллиона долларов, и мы готовы закрыть вопрос сегодня.
Victim
4 миллиона? У вас есть наши финансовые данные, вы явно видите, что это невозможно.
Victim
Однако запрашиваемая сумма превышает наши возможности. В качестве жеста доброй воли и нашего намерения разрешить этот вопрос мирно, мы готовы предложить 50 000 долларов. Эта сумма представляет собой значительное напряжение для нашей организации, но отражает наше искреннее желание найти компромисс. Мы считаем это предложение разумным с учётом нашей ситуации и надеемся, что оно демонстрирует нашу готовность к сотрудничеству. Просим пересмотреть ваши требования с учётом этого предложения. Обеспечение быстрого и справедливого разрешения было бы в интересах всех сторон.
Akira
50k не подойдёт. Сообщу чуть позже.
Akira
Мы перепроверили ваши финансовые документы, поэтому готовы снизить до 1 миллиона долларов. Мы никогда не будем рассматривать пятизначные суммы и, думаю, шестизначные тоже. Сообщите ваше решение оперативно, так как у нас много клиентов, желающих поговорить.
Victim
Давайте будем реалистами, у вас есть финансовые данные компании [redacted]… 2024 год, всё цифровое и онлайн. Если вы посмотрели на финансовые отчёты, вы увидите, что мой клиент не может позволить себе миллион. Конкурента, которому можно продать информацию, нет. Всё, что вы сделаете — уничтожите бизнес и не получите ничего взамен. Мне нужно время для обсуждения с клиентом, но тем временем прошу реально изучить финансовые данные. Нет никакой возможности урегулировать этот вопрос шестизначной суммой, однако я уверен: если вы снизите цену до пятизначного урегулирования за расшифровку и удаление данных с вашей стороны, мы сможем быстро прийти к решению.
Akira
Опять же, пятизначные суммы не будут рассмотрены. Мы посмотрим, что вы принесёте в следующем обновлении, и решим, как действовать дальше.
Victim
Я поговорю с клиентом завтра, однако настоятельно прошу переоценить ситуацию. Это компания [redacted] в мире, где всё онлайн. Финансовые данные, которые у вас есть, показывают: здесь нет прибыли. Выручка не равна прибыли. Мы готовы к сделке, но реалистичной. Я обсудю с ними завтра, но вы не получите семизначную сумму.
Akira
Посмотрим, что об этом думает ваш клиент.
Victim
Я поговорил с клиентом: семизначное урегулирование не произойдёт, как и шестизначное. Мне одобрили предложить 65 тысяч. Мой клиент подал заявление о банкротстве по Главе 15, вы можете увидеть это в интернете, просто погуглив.
Victim
Они готовы быстро разрешить вопрос до того, как не смогут ничего сделать из-за банкротства. Они хотят расшифровать свои системы. Их не волнует публикация финансовых данных онлайн — реальность такова, что это уже произойдёт из-за подачи заявления о банкротстве.
Akira
Не уверен, что мы можем урегулировать это с вами. Вернусь позже.
Victim
Мы оба знаем, что вы можете урегулировать это, давайте придём к взаимовыгодному соглашению. Вы явно видите трудности, которые это создало, для компании, которая уже испытывала финансовые проблемы.
Akira
Моя команда может принять минимум 100 тысяч.
Akira
Вы собираетесь работать с нами?
Victim
Я предоставлю обновление к концу сегодняшнего дня
Victim
Чтобы подтвердить: 100 тысяч приведут к полной помощи в расшифровке их систем, подтверждению удаления данных, отчёту по уязвимостям, гарантиям не продавать данные и гарантиям, что вы не атакуете снова?
Akira
100 тысяч — минимальная цена. Мы можем предоставить вам наш инструмент расшифровки или подтверждение удаления данных за эту сумму. Каждый из этих вариантов стоит 100 тысяч, наш отчёт — за 25 тысяч.
Victim
Только за расшифровку мне разрешено предложить максимум 75 тысяч. Если вы готовы сделать и расшифровку, и подтверждение удаления, они заплатят 100 тысяч. Пожалуйста, укажите, какой вариант вы принимаете, и предоставьте биткоин-адрес.
Victim
Пожалуйста, сообщите немедленно, мой клиент готов закрыть вопрос и вернуть свои данные.
Akira
100 тысяч за расшифровку ИЛИ подтверждение удаления данных. Вот наш BTC-кошелёк [redacted]
Akira
Мне только что сообщили, что мы можем завершить эту сделку (все 5 опций) с вами за 150 000 долларов.
Victim
Пожалуйста, дайте мне проконсультироваться с клиентом по представленному варианту. Я скоро свяжусь.
Victim
Мой клиент принимает ваше предложение. Я обсуждаю с нашим партнёром, который проводит крипто-транзакцию, она должна быть завершена примерно в течение 24 часов. После завершения, пожалуйста, сообщите, какие следующие шаги для получения доступа к вашему инструменту расшифровки и помощи в устранении ущерба, нанесённого системам/данным наших клиентов.
Victim
https://blockstream.info/tx/[redacted]
Victim
Я вижу, что оплата доставлена, пожалуйста, предоставьте нам инструмент расшифровки, чтобы мы могли восстановить бизнес-операции
Victim
Пожалуйста, сообщите
Victim
Прошло почти 24 часа без ответа от вас, пожалуйста, предоставьте обновление.
Akira
Пожалуйста, подождите.
Victim
Пожалуйста, предоставьте обновление
Akira
esxi5.5.zip // 1.94 MB
Akira
chmod +x akira_v2
./akira_v2 —logs trace —path /vmfs/volumes/ —secret id
Akira
secret id — [redacted]
Akira
esxi6.5 +win.zip // 2.29 MB
Akira
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где «paths.txt» — это список путей для дешифратора, каждый путь с новой строки
Команды ESXi
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Victim
Мы работаем над подтверждением расшифровки. А как насчёт остальных обещанных материалов?
Akira
dellog_[redacted].zip // 382 KB
Akira
Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён керберостинг, и мы получили хэши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Никто из ваших сотрудников не должен открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте сотрудников о мерах онлайн-безопасности. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Мы гарантируем, что не будем продавать или публиковать ваши данные, сохраним эту переписку в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и внимательное отношение к вашей безопасности.
Victim
Чтобы подтвердить: ваш метод доступа был через VPN, верно?
Akira
Верно.
Victim
Пожалуйста, раскройте учётную запись, использованную в ходе компрометации, поскольку вы отметили, что приобрели метод доступа.
Akira
Моя команда говорит, что у нас больше нет этой информации. Вам просто нужно следовать нашим инструкциям и изменить все учётные данные. Обновляйте их время от времени.
Victim
Одним из ваших обещанных материалов был отчёт по безопасности, ничего подобного не было предоставлено, а ваше заявление о том, что у вас нет оригинального логина, означает, что вы не предоставляете никакого реального отчёта. Пожалуйста, потратьте 15 минут, чтобы предоставить нам детальное описание того, как вы нарушили сеть, какие учётные записи использовались, на каком сайте были найдены эти учётные данные. Советовать нашему клиенту просто сменить пароли — недостаточно, когда вы только что извлекли выгоду из их краха на сумму 150 000 долларов
Akira
Эта информация точно не стоит 150 000 долларов. Мы использовали их учётные данные VPN для входа. Мы получаем доступ от разных людей в даркнете, эта информация не в публичном доступе. Мы рекомендуем им изменить учётные данные VPN и пересмотреть политику паролей — больше не о чем беспокоиться. Вы не получите больше информации, чем это.
Akira
Мы использовали эксплойт ZeroLogon. Им нужно пропатчить их контроллер домена.
Victim
Эксплойт ZeroLogon мог быть тем, как вы получили права доменного администратора, но не тем, как вы попали в VPN. Вы обязались предоставить отчёт, ZeroLogon уже пропатчен, так как была построена совершенно новая среда, так что это не проблема. Проблема в том, чтобы узнать, КАКУЮ УЧЁТНУЮ ЗАПИСЬ вы использовали, которую нашли в даркнете, чтобы нарушить VPN
Akira
Ребята, мы не собираем эту информацию. Мы предоставили вам всё, что у нас было.
Victim
Вы не предоставляете всё, что у вас есть, вы даже не предоставляете нам учётную запись, которая использовалась при взломе, которая ДОЛЖНА быть частью вашего отчёта по безопасности.
Глубокий анализ: механика атаки и переговоры
Вижу классическую схему двойного вымогательства с техническими нюансами. Группа работает по модели RaaS. Их цепочка начинается с покупки доступа у брокеров в даркнете. Экономия времени, снижение риска засветиться на раннем этапе.
Доступ через VPN без MFA — излюбленный вектор. В диалоге злоумышленники прямо подтверждают: использовали учётные данные VPN для входа. Не Zero-day, не сложный эксплойт, а банальная компрометация учётных данных. Почему работает? Многие организации до сих пор не включают многофакторную аутентификацию на внешних шлюзах.
После входа в сеть начинается разведка. Актеры используют Kerberoasting — технику запроса сервисных билетов Kerberos для последующего офлайн-подбора паролей. Это позволяет получить хэши паролей сервисных учётных записей, которые часто имеют избыточные привилегии. Затем — подбор этих хэшей и получение прав доменного администратора.
Интересный момент: в диалоге упоминается эксплойт ZeroLogon (CVE-2020-1472). Уязвимость в протоколе Netlogon, позволяющая получить права администратора домена без знания пароля. Жертва справедливо отмечает: ZeroLogon мог быть способом получения прав доменного администратора, но не способом попадания в VPN. Важное различие. ZeroLogon — инструмент для эскалации привилегий внутри сети, а не для первоначального проникновения.
Шифрование реализовано через гибридную схему: потоковый шифр ChaCha20 для скорости обработки файлов, асимметричный RSA для защиты симметричных ключей. Такая архитектура позволяет быстро шифровать большие объёмы данных, при этом ключ расшифровки остаётся под контролем злоумышленников. Файлам присваивается расширение .akira или .powerranges для варианта на Rust под названием Megazord.
Для виртуальных сред используется специализированный загрузчик под ESXi. В диалоге видим команды в текстовом формате:
chmod +x akira_v2
./akira_v2 —logs trace —path /vmfs/volumes/ —secret id
Параметр —secret id — уникальный идентификатор жертвы, привязанный к сессии переговоров. Без него дешифратор не запустится. Защита от пиратского использования инструмента после утечки.
Для Windows-систем инструкции выглядят так:
unlocker.exe -p=»path_to_unlock»
unlocker.exe -s=»C:\paths.txt»
где paths.txt — список путей для дешифратора, каждый путь с новой строки
Команды для ESXi:
1) chmod +x unlocker
2) ./unlocker -p=»/vmfs/volumes»
Переговорная тактика демонстрирует гибкость с жёсткими границами. Начальная сумма в $4 млн — типичный «якорь» для крупных организаций. Группа готова снижать цену, если жертва аргументирует невозможность оплаты. В данном случае банкротство клиента стало мощным рычагом: жертва чётко дала понять, что семизначные суммы физически недостижимы.
Финальная сделка на $150 000 за полный пакет выглядит реалистично для среднего бизнеса. При этом злоумышленники чётко разделяют опции: $100k for decryption OR data removal only. Это позволяет монетизировать даже частичные решения.
Техническая часть отчёта по безопасности — поверхностный чек-лист из 9 пунктов. Ни конкретных индикаторов компрометации, ни деталей о скомпрометированной учётной записи. Типично для таких групп: продают «безопасность», но не делятся оперативной разведкой, которая могла бы помочь жертве закрыть реальные бреши.
Проверьте прямо сейчас, включена ли у вас многофакторная аутентификация на всех внешних сервисах. Не «планируется», а реально активна. Если нет — самый быстрый способ стать следующей жертвой.
Ещё момент: в диалоге жертва запрашивает конкретную учётную запись для входа в VPN. Злоумышленники отвечают: «We do not collect this info». Вероятно, правда — если доступ куплен у брокера, исходные данные об источнике утечки могут не передаваться. Создаёт слепую зону для расследования.
Группа использует RClone и FileZilla для эксфильтрации данных перед шифрованием. Стандартный набор, но эффективный: RClone поддерживает множество облачных провайдеров, что усложняет блокировку по репутации доменов.
Важно понимать: даже после оплаты нет 100% гарантии, что данные не утекут. Гарантии «не публиковать» основаны только на репутации группы. Некоторые исследователи отмечают, что группа относительно последовательна в выполнении обещаний, но это не правило, а статистическая тенденция.
Какой вопрос я бы задал на месте жертвы: «Можете ли вы предоставить хэш-суммы изъятых файлов для сверки?» Это позволило бы точно оценить объём утечки без передачи самих данных. Злоумышленники редко идут на такое, но попробовать стоит.
Финальный этап — передача дешифратора. В данном случае исполняемые файлы для ESXi и Windows с инструкциями по запуску. Обратите внимание: для ESXi требуется ручной запуск через SSH с параметрами пути и секретного ключа. Жертва должна иметь доступ к гипервизору — что не всегда возможно после полной блокировки.
Проверьте, есть ли у вас изолированные, неизменяемые резервные копии критических систем. Не просто бэкапы, а такие, которые нельзя удалить или зашифровать даже с правами администратора. Последний рубеж обороны.