Из-за регуляторного давления и ограниченных возможностей восстановления. В этом диалоге жертва кредитный союз предлагает оплату только за удаление данных, исключая расшифровку. Хакеры настаивают на семизначной сумме как минимальном пороге, создавая тупик, где ни одна сторона не может уступить без потери лица.
Victim
привет?
Victim
привет?
Victim
Я ничего не вижу. Это работает?
Victim
привет?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ответ, предоставим все детали.
Victim
Да
Akira
List.7z // 47 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Victim
Могу ли я увидеть следующее
Victim
User Data[redacted].docx
Victim
Public[redacted].xlsx
Victim
Public[redacted].docx
Akira
Пожалуйста, подождите.
Akira
files.rar // 38.7 KB
Akira
Вы можете проверить. Если хотите протестировать наш инструмент расшифровки, предоставьте 2-3 зашифрованных файла как можно скорее.
Victim
[redacted].csv.akira // 634 байта
Victim
Вот два зашифрованных файла
Victim
[redacted].bat.akira // 9.63 KB
Akira
decrypted.7z // 3.03 KB
Akira
Вы можете проверить файлы.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливое требование к вам. Скоро сообщу сумму. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Можем ли мы увидеть полную цену? Нам может не понадобиться всё, но знание полной суммы будет полезно.
Akira
Скоро предоставлю.
Akira
Мы готовы установить цену в $220 000 за ВСЕ услуги, перечисленные выше. Сообщите, как вы хотите продолжить.
Akira
Дешифраторы обойдутся вам в $150 000, подтверждение удаления данных также $150 000. Мы предоставим отчёт бесплатно, если вы приобретёте любую из двух упомянутых опций. Полный пакет всегда дешевле, как вы можете видеть.
Victim
Можете ли вы подтвердить, что список файлов, которым вы поделились, является полным списком всего, что вы взяли?
Akira
Мы подтверждаем, что список указывает на всё, что мы получили.
Akira
Готовы продолжить?
Victim
Мы всё ещё обсуждаем это, поскольку никогда не думали, что такой тип ситуации случится с нами. Можем ли мы взять паузу на пасхальные выходные, чтобы подумать, а затем продолжить в понедельник?
Akira
Да, вы можете, но мы будем ждать вас в понедельник с предложением, от которого нельзя отказаться.
Victim
Мы вернулись. У нас было много обсуждений сегодня о том, что мы можем себе позволить и что мы хотим получить от вас, и мы готовы предложить $42 500 в надежде, что вы удалите данные, которые взяли у нас. Мы не большой кредитный союз, поэтому надеемся, что сможем разрешить это с вами.
Akira
Спасибо за предложение, но, как вы видите, вы слишком далеки от нас в данный момент. Мы можем пойти навстречу, но вы должны понять, что мы не закроем дело за сумму меньше шестизначной. Я подожду лучшего предложения, чтобы обсудить его с руководством.
Victim
Шестизначная сумма — это много для нас, но мы проверим, что сможем сделать. Какая лучшая цена вы можете нам предложить?
Akira
Мы уже дали вам лучшую цену. Повысьте ваше предложение, и мы наконец завершим этот инцидент.
Akira
Мы готовы принять $100 000 как минимум. Вы можете торговаться, но мы не опустимся ниже.
Victim
Мы ценим это. Можем ли мы получить немного времени, чтобы обсудить это? Это будет довольно тяжёлое решение с нашей стороны, но мы постараемся держать вас в курсе.
Akira
Мы надеемся покончить с этим до выходных. На связи.
Victim
Хорошо, с некоторыми одобрениями от нашего совета, мы можем увеличить наше предложение до $55 250. Мы понимаем, что вы сказали, что $100 000 — это минимум, но мы действительно надеемся, что вы поработаете с нами здесь.
Akira
Вы должны приблизиться к нашему требованию, если хотите разрешить это. Всё, что я могу сделать, — $95 000.
Victim
Мы не сможем рассмотреть возможность увеличения того, что мы можем заплатить, раньше понедельника. Мы можем вернуться к вам тогда.
Akira
Ждём вашего ответа в понедельник. Не позже.
Victim
Хорошо, мы смогли приблизиться к вашей сумме, но она всё ещё недостижима для нас. Мы можем предложить вам $62 000 и, честно говоря, не верим, что сможем действительно увеличить её больше с этого момента. Мы задействуем все наши ресурсы для вас прямо сейчас.
Akira
Здравствуйте. Мы ценим этот шаг с вашей стороны. Мы не можем принять $62 000, но готовы снизиться до $90 000 и наконец разрешить это.
Victim
$90 000 будет довольно сложной задачей для нас. Мы обновим совет вашей новой ценой, но не знаем, что они смогут сделать, чтобы собрать остаток. Можете ли вы дать нам день или два, чтобы попытаться это выяснить. Мы хотим, чтобы эта ситуация осталась позади, поэтому, надеюсь, у нас будет обновление скорее, чем позже.
Akira
На связи.
Akira
У вас есть 24 часа, чтобы принять решение по этой сделке. Если вы промолчите, мы объявим о взломе в нашем блоге.
Victim
Мы всё ещё здесь. Было сложно собрать больше денег. Мы ожидаем обновления в конце дня в пятницу.
Akira
Мы должны согласовать сумму до пятницы. Мы либо придём к соглашению на этой неделе, либо отменим сделку. Надеюсь, вы заинтересованы в взаимовыгодном разрешении.
Victim
Понял
Akira
Вы можете найти название вашей компании в нашей колонке новостей: [onion-ссылка] Если вы хотите, чтобы этот пост был удалён, мы должны договориться о чём-то.
Почему кредитные союзы становятся уязвимыми целями для вымогателей
Финансовые организации малого масштаба часто работают с устаревшей инфраструктурой и ограниченным бюджетом на кибербезопасность. При этом они хранят чувствительные данные клиентов и подпадают под регуляторные требования, что создаёт двойное давление при инциденте.
В этом диалоге жертва прямо указывает: «Мы не большой кредитный союз». Хакеры используют эту информацию: начальная цена $220 000 ниже медианного выкупа Akira (~$1 млн), но остаётся неподъёмной для организации с ограниченной ликвидностью.
Проверьте прямо сейчас, классифицированы ли ваши данные по степени регуляторной чувствительности. Если в изъятых файлах есть персональная информация клиентов, публикация может повлечь штрафы независимо от выплаты выкупа.
Как работает ценообразование с раздельными опциями за одинаковую стоимость
Хакеры предлагают: расшифровка — $150 000, удаление данных — $150 000, полный пакет — $220 000. Парадокс: две отдельные опции стоят дороже вместе, чем пакет.
Это не ошибка, а психологический якорь. Жертва, сравнивая $150 000 за одну услугу и $220 000 за всё, воспринимает пакет как «выгодную сделку», даже если нуждается только в одной опции.
[√] Запросите детализацию стоимости каждой опции в письменном виде — это может выявить скрытые условия
[√] Оцените, какая опция критична для бизнеса: восстановление операций или минимизация репутационного ущерба
[ ] Проверьте, покрывает ли киберстрахование только расшифровку или также удаление данных
[ ] Учтите, что оплата за «удаление» не гарантирует, что копии данных не остались у третьих лиц
Почему файл .bat в списке изъятых данных создаёт дополнительные риски
Жертва отправляет для тестовой расшифровки файл .bat — пакетный скрипт Windows. Такие файлы часто содержат команды автоматизации, учётные данные или пути к внутренним ресурсам.
Если хакеры получили доступ к скриптам, они могут реконструировать логику внутренних процессов организации. Это повышает риск повторной атаки даже после «удаления данных».
Проверьте, используются ли в вашей инфраструктуре скрипты с жёстко прописанными учётными данными. Если да — ротация паролей после инцидента должна включать не только доменные учётки, но и сервисные аккаунты, указанные в скриптах.
Как праздничные выходные влияют на динамику переговоров о выкупе
Жертва запрашивает паузу на «пасхальные выходные». Хакеры соглашаются, но устанавливают жёсткий дедлайн: «Ждём вашего ответа в понедельник. Не позже».
Банковские операции в праздники часто приостановлены, что затрудняет сбор средств для оплаты. Хакеры используют это: жертва вынуждена либо искать обходные пути (криптоброкеры, частные займы), либо рисковать публикацией данных.
Исследования показывают: дедлайны, привязанные к выходным или праздникам, увеличивают давление на жертву на 27% по сравнению с обычными сроками [[31]].
Почему подтверждение полноты списка изъятых файлов не гарантирует безопасность
Жертва спрашивает: «Можете ли вы подтвердить, что список файлов является полным?». Хакеры отвечают утвердительно.
Однако даже при честном ответе остаётся риск: хакеры могли извлечь данные, не включённые в список (например, дампы памяти, логи аутентификации, конфигурации сетевых устройств).
[√] Запросите у хакеров хэш-суммы изъятых файлов для сверки с вашими логами — это может выявить несоответствия
[√] Проверьте, не было ли аномальной активности в период, предшествующий инциденту — эксфильтрация могла начаться раньше шифрования
[ ] Рассмотрите привлечение третьей стороны для аудита полноты списка — независимая верификация снижает риск упущенных данных
Как угроза публикации в блоге работает при отсутствии реального контента
Хакеры присылают ссылку на блог с названием компании. Это создаёт впечатление неизбежной утечки. Однако наличие названия в списке не равно публикации содержимого файлов.
Группы уровня Akira часто используют «пре-публикацию» как рычаг: название появляется в блоге, но файлы загружаются позже, после окончательного отказа. Это даёт жертве дополнительное окно для принятия решения.
Проверьте, есть ли у вашей команды процедура мониторинга даркнет-ресурсов. Если обнаружение публикации происходит постфактум, вы теряете возможность повлиять на ситуацию до эскалации.
Почему минимальный порог в $100 000 может быть как тактикой так и ограничением
Хакеры заявляют: «Мы не закроем дело за сумму меньше шестизначной». Это может быть:
[√] Внутренним правилом группы для поддержания репутации «серьёзных игроков»
[√] Экономическим расчётом: затраты на ведение переговоров не окупаются при меньших суммах
[√] Тактикой отсева «неперспективных» целей, чтобы сосредоточиться на более платёжеспособных жертвах
[ ] Реальным ограничением аффилиата, который делится доходом с операторами RaaS
Каждый вариант меняет стратегию защиты. Если это тактика, последовательное давление может снизить цену. Если экономическое ограничение — торг бесполезен, и фокус смещается на восстановление без оплаты.