Жертва спрашивает цену, хакеры отвечают готовым пакетом услуг, называют фиксированную сумму, ставят дедлайн. Никаких доказательств кражи, никакой верификации, никакого торга. Просто трансляция условий.
Такое поведение характерно для автоматизированных переговоров, где группа не инвестирует время в анализ финансовой отчётности жертвы. Если цель не проявляет инициативу для диалога, кейс закрывается быстро — либо оплатой, либо публикацией.
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Akira
Вы собираетесь работать с нами?
Victim
сколько вы можете расшифровать мои файлы
Victim
привет все здесь?
Victim
привет кто-нибудь здесь
Victim
привет кто-нибудь здесь?
Akira
Мы здесь. Пожалуйста, подождите.
Victim
сколько?
Victim
бро?
Victim
привет?
Victim
клиенты ждут вашего сообщения
Akira
List.7z // 117 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливое требование к вам. Скоро сообщу сумму. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Akira
Мы готовы установить цену в $150 000 за ВСЕ услуги, которые мы предлагаем.
Akira
У вас есть 24 часа, чтобы принять решение по этой сделке. Если вы промолчите, мы объявим о взломе в нашем блоге.
Как работает защита дешифратора через Build ID в Akira_v2
Вариант Akira_v2, написанный на Rust, использует уникальную защиту от анализа. Дешифратор проверяет Build ID при запуске — без совпадения с идентификатором сессии инструмент не выполнит расшифровку. Это не просто привязка к жертве, это механизм, который блокирует попытки реверс-инжиниринга в изолированной среде.
Параметры командной строки в Akira_v2 дают хакерам гранулярный контроль: --vmonly запускает шифрование только на виртуальных машинах, --stopvm останавливает ВМ перед шифрованием для блокировки восстановления через снапшоты, --fork создаёт дочерний процесс для обхода детектирования по поведению родительского процесса.
Проверьте прямо сейчас, есть ли в вашей инфраструктуре виртуальные машины без отключённых снапшотов. Если злоумышленник использует параметр --stopvm, восстановление через rollback становится невозможным.
Почему параметр —encryption_percent создаёт иллюзию полного восстановления
Опция --encryption_percent позволяет шифровать только часть файла — например, первые 60% или случайные блоки. После «успешной» расшифровки тестового образца жертва может не заметить, что критичные данные (заголовки баз данных, метаданные конфигураций) остались повреждёнными.
В этом диалоге хакеры предлагают протестировать расшифровку на 2-3 файлах до 10 МБ. Если жертва выберет небольшие текстовые файлы, проверка не выявит проблему с частичным шифрованием. Для надёжной верификации нужно запрашивать расшифровку файлов разных типов и размеров, включая бинарные форматы.
Как хакеры скрывают C2-инфраструктуру через прокси на стороне жертвы
Техника T1604 (Proxy Through Victim) позволяет злоумышленникам использовать скомпрометированное устройство жертвы как прокси-сервер для сокрытия реального C2-сервера. Трафик идёт через инфраструктуру жертвы, что усложняет блокировку по репутации доменов и IP.
В этом диалоге хакеры не раскрывают каналы связи, но стандартная практика Akira включает использование Ngrok, Cloudflare Tunnel, AnyDesk для организации туннелей. Если в логах вашей сети есть исходящие подключения к сервисам динамических туннелей без бизнес-обоснования — это красный флаг.
Какие расширения файлов указывают на конкретный вариант шифровальщика
Файлы, зашифрованные стандартным вариантом Akira, получают расширение .akira или .powerranges. Linux/ESXi-вариант Akira_v2 может добавлять .akiranew или создавать файл akiranew.txt в директориях с зашифрованными данными.
В этом диалоге хакеры присылают список в формате .7z, но не указывают расширения зашифрованных файлов. Для расследования важно сверять расширения с известными индикаторами: если видите .akiranew на ESXi-хостах, это указывает на использование Rust-варианта с параметрами для виртуальных сред.
Почему автоматизированные переговоры чаще заканчиваются публикацией для малого бизнеса
Когда хакеры используют шаблонные ответы без персонализации, они не инвестируют время в построение доверия. Жертва, которая не начинает торг сразу, воспринимается как «неперспективная». Публикация данных в таком случае — способ монетизировать кейс через репутационный ущерб для других потенциальных целей.
Для защиты важно реагировать на первый контакт, даже если решение о выплате ещё не принято. Простое подтверждение получения сообщения и запрос времени на внутреннее обсуждение может перевести диалог из автоматического режима в ручной, где возможны уступки.
Какие уязвимости чаще всего используют для доступа через VPN
Akira активно эксплуатирует уязвимости в Cisco VPN без включённой многофакторной аутентификации: CVE-2020-3259 и CVE-2023-20269. Эти уязвимости позволяют обойти аутентификацию и получить доступ к внутренней сети.
Проверьте прямо сейчас, обновлены ли ваши VPN-шлюзы и включена ли MFA для всех внешних сервисов. Если хотя бы один шлюз работает без многофакторной аутентификации, вы уязвимы к тому же вектору атаки.
Как связь с кодовой базой Conti влияет на детектирование Akira
Анализ кода показывает перекрытия между Akira и Conti: игнорируемые типы файлов, структура функций, использование алгоритма ChaCha для шифрования. Это создаёт сложности для сигнатурного детектирования — правила, написанные под Conti, могут частично срабатывать на Akira, но не покрывать все варианты.
Для повышения точности детектирования стоит комбинировать сигнатуры с поведенческими индикаторами: запуск процессов с параметрами --secret id, использование RClone для эксфильтрации, удаление теневых копий через PowerShell.