Техническая верификация работает файл расшифрован корректно. Но сделка не состоялась. В этом диалоге жертва прошла полный цикл проверки и оборвала контакт без торга. Разбираю, какие организационные факторы перевешивают операционный ущерб, и почему проблемы с доставкой сообщений в анонимном чате могут стать решающим аргументом
Victim
привет
Victim
привет
Victim
привет
Victim
кто-нибудь здесь есть?
Victim
алло?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. Мы скоро свяжемся с вами.
У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
похоже, никого нет, вернёмся позже
Akira
Вы видите наши сообщения?
Victim
привет, запустил другой браузер Tor, теперь вижу ваши сообщения
Victim
да, у меня есть полномочия вести переговоры от имени моей организации
Akira
Пожалуйста, подождите детали.
Victim
алло?
Victim
Я не вижу никаких сообщений после вашего «Вы видите наши сообщения?»
Victim
Я вернусь проверить новые сообщения
Victim
алло?
Akira
Вы можете видеть моё сообщение?
Victim
да
Victim
теперь я вижу «Вы можете видеть моё сообщение?», но мне пришлось выйти и войти снова
Victim
похоже, я не получаю обновления в чате напрямую
Victim
мы вернёмся позже, так как «пожалуйста, подождите» кажется немного долгим
Akira
List.rar // 2.48 MB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Victim
Я получил список и проверю, какие файлы хотим увидеть в качестве доказательства владения
Akira
На связи.
Victim
мы хотели бы увидеть следующие 3 файла:
Victim
D:[redacted].log
Victim
D:[redacted].refs
Victim
D:[redacted].png
Akira
Пожалуйста, подождите.
Victim
Не торопитесь, я вернусь в понедельник
Victim
привет, снова здесь и готов получить ваши файлы
Akira
Файлы будут загружены в ближайшее время.
Akira
files.rar // 19.6 KB
Akira
Пожалуйста, проверьте. Предоставьте зашифрованные файлы как можно скорее, если хотите протестировать наш инструмент расшифровки.
Victim
получил ваши файлы и проверил их, вернусь с зашифрованными файлами как можно скорее
Akira
Мы ждём файлы.
Victim
abc.akira // 21.6 KB
Victim
загрузил один файл для тестирования инструмента расшифровки
Akira
abc // 21.1 KB
Victim
ок, совпадает, и что дальше?
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $350 000 за ВСЕ услуги, которые мы предлагаем:
- полная помощь в расшифровке;
- подтверждение удаления данных;
- отчёт по уязвимостям, которые мы обнаружили;
- гарантии не публиковать и не продавать ваши данные;
- гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Мы отказываемся и не будем ничего платить. Этот разговор окончен.
Akira
ОК. Спасибо за информацию.
Какие технические особенности отличают Akira от LockBit и BlackCat
Akira использует гибридное шифрование ChaCha20+RSA, как и многие современные группы, но реализация под разные платформы показывает системный подход. Под Windows — стандартный PE-исполняемый файл, под Linux и ESXi — ELF-бинарники с поддержкой многопоточности . LockBit 3.0 тоже кроссплатформенный, но делает упор на обфускацию через .NET-загрузчики. BlackCat (ALPHV) написан на Rust, что даёт преимущества в производительности и сложности реверс-инжиниринга.
Akira в этом диалоге демонстрирует работу с файлами .log, .refs, .png — это не случайный выбор. Файлы .refs часто содержат метаданные систем резервного копирования или репликации. Получая доступ к ним, злоумышленники могут оценить критичность данных и приоритезировать цели для шифрования. Это отличает их от групп, которые шифруют всё подряд без разбора.
Почему чат в Tor может терять сообщения и как это влияет на переговоры
Жертва несколько раз отмечает: «я не получаю обновления в чате напрямую», «пришлось выйти и войти снова». Это не баг, а особенность архитектуры анонимных чатов на базе Tor. Сессии не сохраняют состояние между переподключениями, сообщения могут доставляться с задержкой из-за маршрутизации через несколько нод.
Для переговорщика это создаёт операционный риск: задержка в получении ответа может быть интерпретирована как игнорирование или срыв сделки. Злоумышленники в диалоге используют фразу «Standing by» — это попытка удержать инициативу, пока техническая нестабильность не разрушит доверие.
Проверьте прямо сейчас, работает ли ваш канал связи с внешними сторонами в условиях отключения основного мессенджера. Если единственный способ связи — Tor-чат без резервного канала, вы уязвимы не только к атаке, но и к сбою коммуникации в критический момент.
Как хакеры оценивают финансовые возможности жертвы по внутренним документам
Фраза «мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования» — не блеф. Группы уровня Akira действительно проводят финансовый анализ перед выставлением счета. Они ищут:
[√] Отчёты 10-K / 10-Q для публичных компаний — чтобы оценить ликвидность
[√] Договоры киберстрахования — чтобы понять верхний предел возможной выплаты
[√] Внутренние бюджеты на ИБ — чтобы оценить, сколько жертва уже тратит на защиту
[ ] Данные о недавних сделках или инвестициях — чтобы выявить доступные резервы
Это не просто вымогательство, это целевой финансовый инжиниринг. Цена в $350 000 в диалоге — не случайная цифра, а результат анализа. Если у жертвы лимит киберстрахования $500 000, запрос в $350 000 выглядит «разумным» в рамках покрытия.
Что означает мгновенный отказ от переговоров после тестовой расшифровки
Жертва в диалоге проходит все этапы верификации: получает список файлов, запрашивает доказательства, тестирует дешифратор на одном файле, получает подтверждение работоспособности. И сразу после этого заявляет: «Мы отказываемся и не будем ничего платить».
Такая тактика возможна только при наличии одного из условий:
- Резервные копии позволяют восстановить данные без оплаты
- Юридический отдел запретил любые выплаты из-за санкционных рисков
- Компания решила принять репутационный ущерб, но не финансировать преступную деятельность
Для злоумышленников это худший сценарий: они потратили время на разведку, подготовку доказательств, тестовую расшифровку — и не получили ничего. Ответ «OK. Thank you for the information.» не эмоция, а фиксация статуса: жертва переходит в список на публикацию.
Какие индикаторы компрометации искать после атаки Akira
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira или .powerranges — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id или —logs trace
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, FileZilla, 7z для эксфильтрации [ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска в системах: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группы часто перекомпилируют бинарники, но сигнатуры кода сохраняются.
Почему некоторые жертвы выбирают публикацию данных вместо выплаты
Решение «не платить ничего» несёт риски, но иногда это рациональный выбор. Если данные уже застрахованы, резервные копии целы, а публикация не нарушает регуляторные требования, выплата выкупа становится чистой потерей денег без гарантии результата.
Ещё один фактор: санкционное законодательство. В некоторых юрисдикциях выплата выкупа определённым группам может трактоваться как финансирование киберпреступности. Юридический отдел может заблокировать сделку, даже если операционное руководство готово платить.
В диалоге жертва не объясняет причину отказа. Но формат «разговор окончен» без торга указывает на предварительное решение, а не импульсивную реакцию.