Victim 20230606 (13 сообщений)
Мы получили ваше требование о выкупе. Что дальше?
Akira
Поздравляем, вы прошли внезапный аудит информационной безопасности и стали жертвой программы-вымогателя. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Akira
[redacted]_list // 980 КБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливую сумму требования. Скоро сообщу итог. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Akira
[redacted]_list2.zip // 2,09 МБ
Akira
Здесь дополнительные данные, которые мы похитили из части ваших доверенных ресурсов.
Victim
Какой объём данных вы похитили в гигабайтах? Эти два списка — всё, что вы забрали?
Akira
Около 200 ГБ в целом.
Akira
Да, эти два списка содержат всё, что мы похитили.
Victim
Можем ли мы продолжить общение в отдельном чате?
Akira
Да, скоро пришлю идентификатор нового чата.
Akira
hxxxps://privnote[.]com/[redacted]
Как устроена инфраструктура переговоров у Akira
Группа работает через двухуровневую систему каналов. Основной чат служит для первичного контакта и демонстрации контроля. Приватная ссылка на privnote.com нужна для передачи чувствительных данных: адресов кошельков, инструкций по оплате, ключей доступа. Такая архитектура минимизирует артефакты в основном канале и усложняет фиксацию доказательств для расследования.
Tor-инфраструктура Akira включает два основных узла: переговорный портал akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion и сайт утечек akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion. Оба домена используют стандартную схему генерации v3 onion-адресов, что указывает на автоматизированное развёртывание. Публичные отчёты фиксируют периодическую смену этих адресов. Это типичная практика для снижения риска блокировки.
Паттерны командной инфраструктуры
Последовательная нумерация файлов в названиях вроде [redacted]_list и [redacted]_list2.zip помогает атакующим дозированно раскрывать информацию и контролировать темп переговоров. Жертве это создаёт иллюзию структурированности процесса.
Использование легитимных файлообменников вроде temp.sh и privnote.com с коротким сроком хранения позволяет передавать чувствительные данные без необходимости поддерживать собственную инфраструктуру. Артефакты при этом исчезают автоматически.
Разделение каналов по функции снижает риск полной компрометации при блокировке одного из компонентов. Чат используют для диалога, одноразовые ссылки для конфиденциальных данных, Tor-порталы для анонимной коммуникации.
Таксономия уязвимостей в отчётах жертв
Когда злоумышленники предлагают «отчёт об уязвимостях», они обычно ссылаются на один из трёх векторов.
Устаревшие версии публичных сервисов вроде ProxyLogon или Log4Shell легко автоматизируются и не требуют глубокой разведки. Такие векторы часто становятся точкой входа.
Слабые учётные данные в периметровых сервисах вроде RDP, VPN или почтовых шлюзов становятся результатом недостаточного контроля доступа. Особенно это заметно в гибридных инфраструктурах.
Ошибки конфигурации в системах резервного копирования позволяют обойти шифрование, но только если бэкапы не изолированы логически и физически.
В данном кейсе упоминание «доверенных ресурсов» может указывать на компрометацию федеративных сервисов или партнёрских интеграций. Такие векторы часто остаются вне периметра базового мониторинга, что даёт атакующим дополнительное время для горизонтального перемещения.
Что зафиксировать в отчёте
Заявленный объём данных около 200 ГБ стоит использовать как ориентир при поиске аномалий в логах исходящего трафика за предшествующий период.
Начальная тактика в виде психологической нормализации и имитации сервисной модели помогает классифицировать группу при сопоставлении с другими кейсами.
Канал коммуникации включает чат, одноразовые ссылки и Tor-порталы. Это требует мониторинга доменов типа privnote, temp.sh, pastebin в корпоративных прокси-логах.
Индикаторы инфраструктуры включают onion-адреса akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion и akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion. Их стоит добавить в блокировочные списки на уровне DNS и прокси.