Тестирование чата вымогателей через абсурдные предложения оплаты и демонстрацию вредоносного ПО показывает как группы вроде Akira фильтруют несерьёзные контакты и защищают свои каналы коммуникации. Диалог демонстрирует редкий сценарий: собеседник не ведёт себя как типичная жертва. Вместо запросов о расшифровке — мемы, предложения оплаты в V-Bucks, вопросы о политической принадлежности, ссылка на базу вредоносных образцов. Финальное сообщение раскрывает мотив: автор представляет себя как аффилиат другой группировки, предлагающий доступ к крупной цели. Хакеры отвечают сухо: «Мы не заинтересованы».
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ваш ответ, предоставим все детали.
Victim
да
Victim
как мне починить мой компьютер?
Akira
Здравствуйте, пожалуйста, подождите
Victim
привет?
Victim
кто-нибудь здесь?
Victim
Думаю, я просто выключу и переформатирую, раз вы не отвечаете
Akira
Подождите секунду.
Akira
List.7z // 1010 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно. Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
привет
Victim
привет
Victim
Мне нужна помощь, мои файлы заблокированы!
Victim
пожалуйста, помогите мне, мне нужны мои файлы
Victim
I needz my filez bro
Victim
yo i need my files back
Victim
10/07/2020 11:10 AM 75,909 [redacted].pdf 10/07/2020 11:10 AM 20,991 [redacted].pdf
Victim
сколько денег вам нужно
Victim
каково ваше требование
Victim
я готов заплатить
Victim
YEAH BOIII
Victim
У меня задания для моих классов, бро, поторопитесь
Victim
ВЫ ПРИНИМАЕТЕ WACKY BUCKS?
Victim
Cashapp прямо сейчас, бро
Victim
моя бабушка двигается быстрее вас, а она мертва
Victim
в какой стране вы находитесь?
Victim
Какова ваша политическая принадлежность?
Akira
Подождите немного.
Victim
ВАША СТРАНА ОТСТОЙ!!!!!!
Victim
лучшее, что я могу сделать, это 2 v-bucks
Victim
У меня есть жетоны Chuck E Cheese, если вам это нравится
Victim
Я не могу ждать дольше, я смотрю, как сохнет краска
Victim
хорошо, хорошо…3 v-bucks, бери или оставляй
Victim
хотите робуксов? пожалуйста
Victim
У меня есть карта Fornite на $19, кто хочет?
Victim
чат, мы пропали?
Victim
[redacted].exe // 1.04 MB
Victim
мой местный магазин не даёт мне купить больше подарочных карт, как мне вам заплатить?
Victim
money.jpg // 33.8 KB
Victim
давай, открой это
Victim
привет с другой стороны
Victim
WEE WOOO WEE WOO
Victim
Вы наверное удивляетесь, как это происходит XD
Victim
я подключён к камерам вашего офиса
Victim
у меня нет корейского paypal как мне вам заплатить
Victim
R.gif // 1.71 MB
Victim
Даю вам досчитать до пяти, чтобы ответить
Victim
мы делаем сделку или как?
Victim
Думаю, я перепрошью свой компьютер. Вы, ребята, шутка, лол. Мне нужно сделать это сложным путём, качаю головой
Victim
shut-up-take-my-money.gif // 1.05 MB
Victim
вы принимаете монеты tiktok?
Victim
какой у вас OF?
Victim
HONSE.jpg // 24.3 KB
Akira
ваше руководство в курсе инцидента?
Victim
Ну да?
Akira
Мы готовы установить цену в $550 000 за ВСЕ услуги, которые мы предлагаем. Сообщите как можно скорее.
Victim
Здравствуйте
Victim
Кто-то загрузил этот блокировщик в онлайн-базу данных вредоносного ПО
Victim
Вам нужно дать корпорации новый пароль
Victim
Вы официальный переговорщик Akira или просто аффилиат?
Akira
Предоставьте ссылку на эту базу данных, и мы предоставим новый чат.
Victim
В любом случае, если у вас есть прямой доступ к руководству Akira, добавьте меня в Tox. Возможно, у меня есть доступы в будущем, которые я хочу отправить вам, в зависимости от ставок аффилиатов группы. ID: [redacted]
Victim
Victim
Это ссылка на базу данных — но я не корпорация. Я аффилиат другой группы.
Victim
Если вы официальный переговорщик или владелец Akira, не могли бы вы добавить мой tox, указанный выше? Я хотел бы иметь контакт с вами на случай, если у меня будет доступ, который я хочу передать.
Akira
Спасибо за эту информацию. Мы свяжемся с вами при необходимости.
Victim
Здравствуйте
Akira
Здравствуйте
Victim
У меня есть доступ в США, из которого я сейчас извлекаю данные, это годовой доход $400 млн, как показано на zoominfo, хотя другие источники, такие как wikipedia, говорят, что годовой доход составляет $900 млн долларов США. Мне интересно, заинтересованы ли вы в том, чтобы я использовал ваш сервис для блокировки корпорации. Дайте знать, если вы открыты к обсуждению.
Akira
Мы не заинтересованы. Спасибо.
Как вымогатели фильтруют несерьёзные контакты через поведенческие индикаторы
Хакеры в этом диалоге игнорируют абсурдные сообщения, но реагируют на два триггера: вопрос о статусе переговорщика и предложение о сотрудничестве. Это указывает на наличие внутреннего протокола фильтрации: троллинг пропускается, потенциальные партнёры — перенаправляются.
Группы уровня Akira обрабатывают сотни входящих контактов. Ручная модерация каждого чата неэффективна. Вероятно, используется комбинация ключевых слов и паттернов поведения для классификации собеседников: жертва, исследователь, конкурент, тролль.
Проверьте прямо сейчас, есть ли у вашей команды процедура верификации входящих запросов от неизвестных сторон. Если каждый контакт требует реакции, вы рискуете потратить ресурсы на ложные инциденты или пропустить реальную угрозу.
Почему ссылка на bazaar.abuse.ch создаёт операционный риск для обеих сторон
Собеседник присылает ссылку на базу вредоносных образцов Abuse.ch. Это публичный ресурс для исследователей безопасности, но для вымогателей такая ссылка может означать:
[√] Попытку деанонимизировать инфраструктуру через анализ образца
[√] Демонстрацию технической компетентности для установления доверия
[√] Провокацию на раскрытие внутренних каналов коммуникации
Хакеры отвечают нейтрально: «Предоставьте ссылку, и мы предоставим новый чат». Это стандартная реакция на потенциальную утечку: смена канала связи снижает риск компрометации текущего.
Для защиты важно: не переходите по ссылкам от неизвестных отправителей без предварительного анализа в изолированной среде. Даже публичные ресурсы могут использоваться для доставки вредоносного контента через подмену доменов или компрометацию репозиториев.
Как работает верификация статуса переговорщика в структуре RaaS
Собеседник спрашивает: «Вы официальный переговорщик Akira или просто аффилиат?». Это не праздный вопрос. В модели RaaS (ransomware-as-a-service) операторы и аффилиаты имеют разные уровни доступа и полномочий.
Официальный переговорщик может согласовывать скидки, предоставлять технические гарантии, принимать решения по публикации данных. Аффилиат часто ограничен шаблонами и требует эскалации к операторам.
[√] Запросите подтверждение статуса через криптографически подписанное сообщение — это снижает риск общения с самозванцем
[√] Сверьте контактные данные с известными индикаторами группы через открытые источники (форумы, блоги, отчеты исследователей)
[ ] Не раскрывайте внутренние детали инфраструктуры до подтверждения легитимности собеседника
Почему предложение о продаже доступа отклоняется без обсуждения
Собеседник предлагает доступ к компании с выручкой $400-900 млн. Хакеры отвечают: «Мы не заинтересованы». Это может указывать на:
[√] Внутреннюю политику отказа от покупки доступов у третьих лиц — группа предпочитает самостоятельную разведку
[√] Опасение, что доступ может быть «отравлен» — ловушкой для деанонимизации или конкуренции
[√] Нехватку ресурсов для обработки новых целей — группа фокусируется на текущих кейсах
[ ] Недостаточную верификацию предложения — без доказательств доступа сделка не рассматривается
Для защиты это означает: даже если вы не жертва, предложение о сотрудничестве с вымогателями несёт юридические и операционные риски. Передача доступа может трактоваться как соучастие в киберпреступлении.
Как мемы и абсурд в переписке влияют на автоматическую классификацию собеседника
Собеседник использует язык интернет-культуры: «YEAH BOIII», «I needz my filez bro», GIF-файлы, предложения оплаты в игровой валюте. Для человека это явный сигнал троллинга. Для автоматической системы классификации — потенциальный шум.
Группы вымогателей могут использовать NLP-модели для первичной сортировки входящих сообщений. Абсурдный контент часто маркируется как низкий приоритет, что объясняет задержки ответов в этом диалоге.
Проверьте, есть ли у вашей команды процедура эскалации инцидентов, которая не зависит от тональности входящих сообщений. Если реакция на инцидент требует «серьёзного» стиля коммуникации, вы рискуете пропустить критичные сигналы, замаскированные под троллинг.
Почему упоминание Tox ID указывает на попытку установления альтернативного канала связи
Собеседник предлагает добавить его в Tox — децентрализованный мессенджер с шифрованием. Это стандартная практика для установления резервного канала, менее подверженного блокировкам, чем веб-чаты на базе Tor.
Для вымогателей такой запрос — красный флаг: альтернативный канал может использоваться для отслеживания, перехвата или компрометации. Ответ «Мы свяжемся с вами при необходимости» сохраняет возможность контакта без раскрытия собственных координат.
[√] Не раскрывайте личные или корпоративные идентификаторы (Tox, Telegram, email) неизвестным сторонам
[√] Используйте одноразовые аккаунты для тестового взаимодействия с подозрительными контактами
[ ] Документируйте все попытки установления альтернативных каналов для возможного расследования
Какие индикаторы компрометации искать при анализе образца с bazaar.abuse.ch
Если вы исследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id, —logs trace, —encryption_percent
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, 7z, curl для эксфильтрации или подготовки данных
[ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются.