Как малый бизнес теряет данные когда выкуп в $20 000 не проходит минимальный порог в $100 000 у группы Akira Владелец малого бизнеса прямо говорит: «Мы потеряли $335K в 2024», «Не можем выплатить зарплату», «Придётся уволить людей». Хакеры проверяют информацию, находят прибыльные прошлые годы и настаивают на $100 000 как минимальном пороге. Сделка срывается, данные публикуются.
Технически интересно: файл .oms в списке изъятых, нестабильность чата, требование биткоина с учётом 7-10 дней на подтверждение транзакции.
Victim
привет
Victim
кто-нибудь здесь
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. У вас есть полномочия вести переговоры от имени вашей организации? Как только получим ваш ответ, предоставим все детали.
Victim
Здравствуйте
Akira
Пожалуйста, подтвердите, что у вас есть полномочия вести переговоры от имени вашей организации, и мы предоставим детали.
Victim
привет
Victim
да, я могу вести переговоры от имени моей организации
Victim
Я подтверждаю
Akira
List.7z // 219 KB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла до 10 МБ каждый из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла до 10 МБ каждый в наш чат, и мы загрузим расшифрованные копии обратно. Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Здравствуйте, кто-нибудь здесь?
Victim
Чат не отвечает, пришлось перезагрузить
Victim
1
Victim
[redacted].pdf.akira // 2.86 MB
Victim
[redacted].oms.akira // 7.67 MB
Victim
полный пакет
Victim
привет, кто-нибудь здесь
Akira
Пожалуйста, подождите.
Akira
decrypted.7z // 10.5 MB
Akira
Мы готовы установить цену в $250 000 за ВСЕ услуги, которые мы предлагаем.
Victim
[redacted].pdf.akira // 10.2 MB
Victim
Здравствуйте, это владелец компании. Если вы посмотрели на наши банковские выписки, вы увидите, что мы не можем позволить себе даже $2 500, не говоря уже о $250 000
Victim
Поздравляю. Вы атаковали буквально самую бедную компанию в [redacted]. Теперь вы по сути обанкротите нас, и 65 семей не будут иметь денег на еду. Я знаю, что у вас тоже есть семьи, которые нужно кормить, но разрушение нашей компании и лишение семей еды — не способ этого добиться.
Victim
Пожалуйста, поймите, что я очень маленький бизнес, и я не в положении платить такую высокую сумму. Я хочу разрешить этот вопрос как можно быстрее, но мне нужно согласовать гораздо меньшую сумму. Вы не выпустите всё за $0. Но мы не можем позволить себе много. Мы пропустим выплату зарплаты в эту пятницу из-за всей этой ситуации, и нам придётся иметь дело с ущербом, который вы уже причинили за выходные.
Akira
Итак, что вы можете предложить?
Victim
Мы понимаем серьёзность ситуации, с нашим текущим положением мы можем предложить 1200 за услуги расшифровки.
Akira
Вы не понимаете серьёзности ситуации. Мы скоро объявим об инциденте.
Akira
Вы собираетесь увеличить ваше встречное предложение?
Victim
Здравствуйте. Это владелец. Я не могу позволить себе то, что вы просите. Вы буквально поставили нашу компанию на грань банкротства. Вы должны дать мне разумное число. Мой партнёр — компания по гипсокартону на $400 млн, и ему пришлось заплатить только $10 000. Мы едва получаем прибыль в нашей крошечной компании. Вы можете видеть это из наших финансовых отчётов. Можем ли мы, пожалуйста, согласовать более разумную сумму выкупа, которую мы можем позволить себе и не вынудить нас к банкротству тем или иным способом.
Victim
Я не могу позволить себе много, иначе мы не сможем выплатить зарплату или арендную плату или купить материалы. Примете ли вы $4000. Я даже не могу позволить себе это прямо сейчас, но я буду считать это уроком за $4000, что нам нужно больше сосредоточиться на безопасности сети от очень умного консультанта, то есть вас.
Akira
Мы не можем принять $4 000 или $10 000 за это. Если вы хотите прийти к соглашению, вы должны найти способ предложить больше. Ждём вашего ответа как можно скорее.
Victim
Мне жаль, мы не можем заплатить даже $10 000. У нас буквально нет денег на оплату. $4 000 означает, что мы уволим 1 человека, чтобы заплатить за это. $8000 означало бы увольнение двух человек
Victim
Всё в порядке. Похоже, вы не видите нашу ситуацию, хотя у вас есть все наши банковские выписки и финансовая информация. Если вы посмотрите на них, то увидите, что $4000 — это больше, чем мы можем позволить себе. Сейчас всё так плохо. Мы уже планировали закрыть операции из-за этого вируса. Так что делайте, что должны. Я не знаю, что вам сказать.
Victim
даже если я уволю 10 человек, мы не сможем заплатить ни за что, потому что мы не произведём достаточно работы для продажи, чтобы получить наличные для оплаты счетов. Вы хотите то, чего у нас нет. Мы потеряли -$335K в 2024. И 2025 не начинается намного лучше. Мы просто маленький бизнес, пытающийся выжить. Вы можете попросить $10 000 или вы бы убили моего ребёнка, и у меня не было бы денег, чтобы дать вам.
Akira
Мы проверим эту информацию.
Akira
[redacted].pdf // 32.4 KB
Akira
Это не аргумент, что вы потеряли $335K в 2024. Предыдущие годы были для вас прибыльными. Итак, мы хотим, чтобы вы перестали пытаться обмануть нас и заключили честную сделку. Мы не хотим усложнять вещи и надеемся, что вы не вынудите нас принять меры.
Victim
Вы смотрели налоговые декларации? PNL не точны. Посмотрите на банковские выписки. они расскажут вам о нашей ситуации. У нас едва есть $20K в банке большую часть времени. Деньги поступают медленнее, чем уходят. Если вы посмотрите на наши банковские выписки за 2024, вы увидите. Мы пропустили выплату зарплаты 3 недели назад. Я готов заплатить вам что-то. Ничего в этом не справедливо. Вы совершаете преступное деяние. Я пытаюсь заплатить вам, чтобы совершить преступное деяние. Я просто хочу двигаться дальше. Наш денежный поток ужасен. Этот вирус усугубляет ситуацию. Поскольку мы не можем собирать деньги ни от одного из наших клиентов. Вы можете продолжать обвинять меня в обмане, но я предлагаю вам то, что могу, не доводя компанию до банкротства.
Akira
У нас нет ваших банковских выписок или актуальных отчётов. Мы готовы сделать исключение и опуститься до минимума. $100 000, и мы вернём вас в строй.
Akira
Вы можете найти название вашей компании в нашей колонке новостей: [onion-ссылка]
Если вы хотите, чтобы этот пост был удалён, мы должны прийти к соглашению.
Victim
Здравствуйте, мы не можем позволить себе эту сумму. Есть ли какая-либо другая более низкая сумма, которую можно рассмотреть?
Akira
Каков ваш максимум?
Victim
Мы маленький бизнес, всё, что мы можем позволить себе, это $10 000.
Akira
Никак мы не согласимся на $10 000.
Victim
У нас даже нет $10 000 в банке прямо сейчас. Мне придётся продать наше единственное транспортное средство компании, которое имеет какую-либо ценность, чтобы заплатить за это. Пожалуйста. Мы ищем способы выйти из этого, потому что мы не можем позволить себе то, что вы просите. Я просто прошу, можете ли вы быть разумными и прийти к разумной цене с учётом нашей ситуации.
Akira
Какую сумму вы можете назвать разумной в этом случае? Мы в $90 000 друг от друга. Что вы предлагаете?
Victim
просто потому что вы просите $100 000, не означает, что мы в $90 000 друг от друга. Я действительно предлагаю больше, чем у нас есть. Мы не могли выставить счёт клиенту в течение двух месяцев, потому что вы, ребята, были достаточно умны, чтобы ударить по нам, прежде чем мы могли закрыть февраль. Мы делаем всё вручную, но мы уволили 1/3 нашего персонала и просто пытаемся оплатить основные счета, чтобы нас не подали в суд или не выселили. Больше увольнений предстоит, если мы не сможем начать выставлять счета и собирать деньги от наших клиентов, которые должны нам реальные деньги. Это 7-10 дней только для подтверждения биткоинов. У меня даже нет $10 000 прямо сейчас, мне пришлось бы ждать, пока грузовик продастся в эти выходные, внести наличные и конвертировать в биткоин. Что будет ещё через 11-15 дней с этого момента
Victim
я мог бы продать некоторые новые материалы и принадлежности за деньги, но мне нужно выставить это на eBay и ждать, пока покупатель сделает ставку, чтобы получить больше наличных прямо сейчас
Victim
я буду честен, вы, вероятно, заработали бы больше денег как наш бизнес-консультант, показав нам, насколько ужасна наша безопасность сети, и сказав мне, что мне нужно только 50% от нашего первоначального персонала для ведения бизнеса
Akira
Мы, возможно, приняли бы что-то меньше $100 000 от вас, но это точно не $10 000. Если вы не можете увеличить своё предложение, нам не о чем говорить.
Victim
я не собираюсь оскорблять вас, постепенно увеличивая. Я уволю ещё 4 сотрудников, и я могу увеличить до $20 000, но я не смогу реализовать экономию до следующей недели. Я продам грузовик в эти выходные и куплю биткоин, как только у нас будут свободные наличные. К концу следующей недели я должен быть в состоянии освободить $20 000 для покупки биткоинов. Но пожалуйста, это максимум, что я могу сделать. И вы правы, если $20 000 недостаточно, не о чем больше говорить
Akira
Продолжайте пытаться.
Victim
Сэр — Примете ли вы $20 000?
Victim
принять
Akira
Нет.
Akira
Данные вашей компании и ваших сотрудников теперь свободно доступны.
[onion-ссылка]
Мы можем удалить их, но вы должны согласиться с нашими условиями.
Почему файл .oms становится целью при эксфильтрации и как его расшифровка отличается от .pdf
Расширение .oms относится к Oracle Media Server или специализированным системам управления заказами. В контексте малого бизнеса это может быть файл конфигурации CRM, базы заказов или логистической системы.
Akira шифрует .oms тем же гибридным алгоритмом ChaCha20+RSA, что и другие файлы, но структура формата влияет на восстановление. Если .oms содержит бинарные блоки ссылок на внешние ресурсы, частичное шифрование (параметр —encryption_percent) может нарушить целостность указателей. После расшифровки файл открывается, но не может подключиться к серверу или базе данных.
Для верификации восстановления .oms требуется не только проверка открытия файла, но и тест подключения к зависимым сервисам. Если хакеры предоставляют дешифратор без инструкции по восстановлению связей, файл остаётся функционально бесполезным.
[√] Запросите у хакеров пример расшифрованного .oms файла для проверки целостности внутренних ссылок
[√] Протестируйте дешифратор на копии файла в изолированной среде с эмуляцией зависимых сервисов
[ ] Сверьте хэш-суммы критичных блоков .oms до и после шифрования — это выявит потерю данных при частичном восстановлении
Как хакеры проверяют финансовые утверждения жертвы без доступа к банковским выпискам
Жертва заявляет: «У нас нет денег, посмотрите на банковские выписки». Хакеры отвечают: «У нас нет ваших банковских выписок или актуальных отчётов». Но затем: «Предыдущие годы были для вас прибыльными».
Это указывает на доступ к историческим финансовым документам: налоговые декларации, аудиторские отчёты, годовые отчёты. Эти файлы часто хранятся дольше, чем оперативные банковские выписки, и могут быть извлечены из архивов или резервных копий.
Механизм проверки:
[√] Поиск файлов с ключевыми словами в названиях: tax, return, audit, financial, PNL
[√] Парсинг содержимого на предмет числовых паттернов: выручка, прибыль, убыток
[√] Сравнение данных за несколько лет для выявления трендов
[ ] Корреляция с внешними источниками: ZoomInfo, Wikipedia, открытые реестры
Для защиты важно: удаляйте исторические финансовые документы из активных систем после архивации. Даже если текущие данные зашифрованы, старые отчёты могут стать рычагом давления.
Почему минимальный порог в $100 000 существует в экономике операций Akira
Хакеры отказываются принимать суммы ниже шестизначных: «Мы не работаем с пятизначными суммами». Это не произвольное правило, а экономический расчёт.
Модель RaaS распределяет доход между операторами, аффилиатами и инфраструктурными провайдерами. При сумме $10 000 после комиссий биткоина, конвертации и долей участников чистая прибыль может оказаться ниже затрат на ведение переговоров и поддержку дешифратора.
Дополнительные факторы:
[√] Репутационный якорь: низкие выплаты привлекают больше мелких целей, увеличивая нагрузку на поддержку
[√] Операционные издержки: каждый кейс требует времени переговорщиков, технических специалистов, модераторов блога
[√] Риск деанонимизации: больше сделок = больше следов в блокчейне и логах
Для малого бизнеса это означает: если ваша финансовая ёмкость ниже $100 000, торг может быть бесполезен. Фокус смещается на восстановление без оплаты или минимизацию ущерба от публикации.
Как задержка в 7-10 дней на подтверждение биткоин-транзакции влияет на переговоры
Жертва указывает: «Это 7-10 дней только для подтверждения биткоинов». Это не техническая ошибка, а реалия работы с криптовалютными биржами и банковскими переводами.
Процесс покупки биткоина для юрлица:
1) Подача заявки на биржу с верификацией личности и источника средств
2) Банковский перевод фиата на счёт биржи (1-3 рабочих дня)
3) Конвертация в биткоин по рыночному курсу с комиссией 1-3%
4) Вывод на внешний кошелёк (подтверждение сети: 10-60 минут, но биржи могут задерживать вывод на 24-72 часа для проверки)
5) Отправка хакерам и ожидание подтверждений в блокчейне (обычно 3-6 подтверждений = 30-60 минут)
Общая задержка 7-10 дней реалистична для первого опыта. Хакеры знают об этом, но используют дедлайны как рычаг давления.
[√] Заранее согласуйте с биржей процедуру ускоренной верификации для экстренных случаев
[√] Имейте резервный канал покупки криптовалюты через локальных брокеров с меньшими требованиями
[ ] Документируйте все этапы покупки — это может служить обоснованием задержки при переговорах
Почему нестабильность чата создаёт операционные риски для обеих сторон
Жертва сообщает: «Чат не отвечает, пришлось перезагрузить». Это особенность архитектуры анонимных чатов на базе Tor: сессии не сохраняют состояние, сообщения могут теряться при переподключении.
Последствия для переговоров:
[√] Потеря контекста: хакеры могут не увидеть последнее сообщение жертвы и интерпретировать молчание как игнорирование
[√] Дублирование усилий: жертва отправляет один и тот же файл несколько раз, увеличивая риск утечки метаданных
[√] Эскалация недоверия: задержки в ответах воспринимаются как саботаж, а не техническая проблема
Для защиты важно: сохраняйте локальные копии всей переписки после каждого сеанса. Если чат «упадёт», вы не потеряете историю переговоров и доказательства верификации.
Какие индикаторы компрометации искать при расследовании атаки на малый бизнес
Если вы расследуете инцидент с участием Akira, обратите внимание на:
[√] Файлы с расширением .akira — маркер шифрования
[√] Записи в логах о запуске процессов с параметрами —secret id, —logs trace, —encryption_percent
[√] Подозрительные подключения к доменам в зонах .onion, .tk, .ml
[√] Использование утилит вроде RClone, 7z, curl для эксфильтрации
[ ] Изменения в политиках паролей или отключение MFA незадолго до инцидента
Хэш-образцы для поиска: проверьте базы VirusTotal и ANY.RUN по тегу «Akira». Группа часто перекомпилирует бинарники, но сигнатуры кода и использование библиотеки Nettle сохраняются.