Десять миллионов без списка файлов, без скриншотов, без давления только обещание расшифровки и скидка за скорость. В этом диалоге жертва задаёт один вопрос и исчезает, а хакеры отвечают серией сообщений, которые выглядят как монолог в пустоту
Вижу в этом диалоге редкую ситуацию: хакеры заявляют «мы не брали ваши данные», хотя стандартная тактика двойного вымогательства строится именно на угрозе публикации. Возможно, это автоматизированный ответ для мелких целей, где эксфильтрация не проводилась. Или тестовый сценарий для оценки реакции жертвы.
Сумма в $10 000 000 экстремальный «якорь». По данным ФБР, медианный выкуп у Akira составляет около $1 млн, а общие сборы группы $42 млн с более чем 250 жертв. Запрос в 10 раз выше медианы либо указывает на ошибку в оценке размера жертвы, либо на намеренную провокацию для фильтрации «неперспективных» целей.
Victim
Какая цена за расшифровку?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. Мы скоро свяжемся с вами.
У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Да
Victim
?
Akira
Итак, мы не брали ваши данные. Мы те, кто может корректно расшифровать ваши данные и восстановить инфраструктуру за короткий срок.
После оплаты вы получите дешифратор для каждой из ваших систем и инструкцию по его использованию для конкретного файла/системы. Если вы столкнётесь с проблемами в процессе расшифровки, мы будем здесь, чтобы поддержать. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети, уязвимостях, которые мы нашли. Более того, вы получите высококачественные технические рекомендации по устранению любых уязвимостей и укреплению вашей сети для защиты внутренней и внешней инфраструктуры.
Вы также получите письменные гарантии, что мы сохраним этот разговор в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова. Цена — $10 000 000. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно.
Akira
В случае быстрой оплаты мы сможем рассмотреть хорошую скидку.
Akira
Здравствуйте. Мы ожидаем получить ответ от вас сегодня.
Akira
Разве не проще договориться с нами?
Как работает гибридное шифрование в шифровальщике Akira
Akira использует комбинацию потокового шифра ChaCha20 для скорости и асимметричного RSA-4096 для защиты ключей через библиотеку Nettle. Такая схема позволяет быстро обрабатывать большие файлы, при этом ключ расшифровки остаётся под контролем злоумышленников.
Параметр --encryption_percent даёт возможность шифровать только часть файла например, первые 60% что создаёт иллюзию восстановления даже при неполной расшифровке.
Для виртуальных сред (VMware ESXi) группа распространяет специализированные ELF-бинарники с поддержкой многопоточности, что ускоряет шифрование на уровне гипервизора [[25]]. Это отличает Akira от LockBit 3.0, который делает упор на обфускацию через .NET-загрузчики, и от BlackCat (ALPHV), написанного на Rust для повышенной устойчивости к реверс-инжинирингу.
Проверьте прямо сейчас, есть ли в вашей инфраструктуре системы с открытым доступом по SSH или RDP без MFA. Именно через такие точки хакеры получают первоначальный доступ, прежде чем запускать шифровальщик.
Почему заявление «мы не брали ваши данные» меняет динамику переговоров
Большинство групп уровня Akira используют двойное вымогательство: шифрование + угроза публикации украденных данных. Это создаёт два рычага давления операционный и репутационный. В данном диалоге хакеры прямо заявляют: «мы не брали ваши данные». Это снимает репутационный рычаг и оставляет жертве пространство для отказа.
Возможные причины такого заявления:
[√] Эксфильтрация действительно не проводилась — например, из-за нехватки времени или сбоев в инструментах сбора [[6]]
[√] Это шаблонный ответ для мелких целей, где анализ данных не проводился
[√] Хакеры пытаются снизить сопротивление жертвы, создавая иллюзию «честной сделки»
[ ] Заявление — блеф, и данные на самом деле извлечены, но хакеры не хотят раскрывать это на раннем этапе
Каждый вариант меняет стратегию защиты. Если данные действительно не украдены, фокус смещается на восстановление из резервных копий. Если это блеф отказ от оплаты несёт репутационные риски.
Как хакеры используют давление временем в коротких диалогах
В этом диалоге хакеры отправляют три сообщения подряд без ответа жертвы: предложение скидки, напоминание о сроке, риторический вопрос «Разве не проще договориться?». Это классическая тактика создания ощущения срочности.
Исследования переговоров показывают: группы вроде Akira используют тайминг как инструмент давления — жертва, находящаяся в стрессе, чаще принимает неоптимальные решения [[31]]. Однако в данном случае тактика не сработала: жертва не ответила ни на один из триггеров.
Проверьте, есть ли у вашей команды заранее согласованный протокол реагирования на вымогателей. Если каждое сообщение от хакеров требует экстренного согласования с руководством, вы уязвимы к манипуляциям через срочность.
Какие индикаторы компрометации искать при атаке Akira
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id, —logs trace, —encryption_percent
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, 7z, curl для эксфильтрации или подготовки данных
[ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются [[25]].
Почему некоторые жертвы игнорируют хакеров после первого контакта
В этом диалоге жертва задаёт вопрос о цене, подтверждает полномочия — и исчезает. Такое поведение возможно при наличии одного из условий:
- Резервные копии позволяют восстановить данные без оплаты
- Юридический отдел запретил любые выплаты из-за санкционных рисков
- Организация решила не вступать в диалог, чтобы не легитимизировать требования
Для хакеров это худший сценарий: потраченное время на подготовку ответа, предложение скидки, напоминания — и ноль отдачи. Финальное сообщение «Разве не проще договориться с нами?» звучит не как угроза, а как попытка вернуть инициативу в диалог, который уже закончился.