Akira 20230722 (9 сообщений)
Здравствуйте
Akira
Итак, вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время. Есть ли у вас полномочия вести переговоры от имени организации?
Akira
list.7z // 1,11 МБ
Akira
Эти файлы были похитили из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливую сумму требования. Скоро сообщу итог. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать требование. Мы готовы установить цену в 190 000 долларов США за ВСЕ услуги, которые мы предлагаем.
Akira
Если мы не получим ответ в течение 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Akira
12 часов.
Akira
Вы можете найти себя в нашей новостной колонке: https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion/ Если вы хотите, чтобы этот пост был удалён, нам нужно о чём-то договориться.
Анализ эскалации давления: от 24 часов до 12
Этот фрагмент показывает агрессивную динамику, характерную для зрелых операторов двойного шантажа. Все девять сообщений отправлены одной стороной — жертва молчит. И именно это молчание атакующие используют как повод для ужесточения условий.
Почему дедлайн сокращается вдвое
Первоначальный ультиматум в 24 часа — стандартный интервал для первого давления. Но когда ответа нет, группа не ждёт полного истечения срока. Сообщение «12 часов» приходит раньше — это не просто напоминание, а демонстрация контроля над временем. Атакующие показывают, что таймер тикает по их правилам, а не по календарю жертвы.
Такая эскалация работает на два фронта. Во-первых, она создаёт ощущение, что ситуация выходит из-под контроля — чем ближе дедлайн, тем выше паника. Во-вторых, это фильтр: если жертва не реагирует даже на сокращённый срок, группа переходит к публикации без дополнительных предупреждений.
Финансовая разведка как основа требования
Фраза «мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования» — не просто запугивание. Это сигнал, что атакующие провели целевую разведку до начала диалога. Они знают, где лежат финансовые отчёты, какие страховки покрывают киберинциденты, какая у компании платёжеспособность.
Сумма в 190 000 долларов не взята с потолка. Она калибрована под конкретную жертву: достаточно высока, чтобы покрыть затраты атакующих, но не настолько, чтобы сразу оттолкнуть компанию. Для сравнения: в других кейсах стартовые требования варьировались от 165к до 350к — диапазон зависит от размера жертвы и глубины предварительной разведки.
Инфраструктурная ротация и публичные точки доступа
Группа поддерживает два основных onion-сервиса: портал для переговоров akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion и сайт утечек akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion. За этими скрытыми сервисами стоят публичные IP-адреса, которые периодически меняются, но сохраняют конфигурационные признаки: веб-сервисы на порту 9443, ответы «403 Forbidden» при прямом доступе.
Такая архитектура позволяет группе быстро переносить инфраструктуру при блокировках, но оставляет следы для корреляции. Если в логах прокси или фаервола появляются попытки доступа к доменам с аналогичными параметрами (порт 9443, специфичные заголовки), это может быть ранним индикатором подготовки к шантажу.
Техническая эволюция: от Windows к гибридным атакам
Это меняет профиль риска: даже если компания восстановила рабочие станции, отказ виртуальных серверов парализует критичные сервисы. Akira использует шифровальщик для VMware ESXi на базе Rust, что позволяет атаковать виртуальные инфраструктуры параллельно с традиционными Windows-системами.
Для жертвы это означает, что традиционные меры восстановления через снапшоты могут не сработать — атакующие умеют обходить их на уровне гипервизора.Новая версия шифровальщика поддерживает аргументы вроде —vmonly (только виртуальные машины) и —stopvm (остановка ВМ перед шифрованием)
Связь с наследием Conti
.Анализ кода показывает пересечения между Akira и шифровальщиком Conti игнорируемые типы файлов, структура функций, использование алгоритма ChaCha для шифрования. В нескольких случаях выплаты выкупа от жертв Akira поступали на кошельки, ранее связанные с операторами.
Это не просто техническая деталь. Для специалистов по реагированию на инциденты это означает, что тактики, индикаторы и меры защиты, разработанные против Conti, могут быть релевантны и для защиты от Akira.
Индикаторы для детекции
[√] Паттерн имён файлов: list.7z с размером 1-1,5 МБ — может указывать на компрометацию смешанного набора данных (финансы + операционные документы)
[√] Эскалация дедлайна: «24 часа» → «12 часов» — признак агрессивной тактики давления, характерной для зрелых операторов двойного шантажа
[√] Onion-домены akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion и akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion — добавить в блокировочные списки и настроить алерты на попытки доступа.
[√] Попытки доступа к порту 9443 с веб-заголовками, характерными для скрытых сервисов — потенциальный индикатор инфраструктуры утечек.
[√] Использование аргументов —vmonly, —stopvm в процессах шифрования — маркер гибридной атаки на виртуальные инфраструктуры.
Где проверить самостоятельно
Размер и имя файла-списка можно сопоставить с логами исходящего трафика за период до инцидента — аномальная передача архивов с путями может быть индикатором подготовки к шантажу
Формулировки про финансовую разведку стоит искать в логах чатов как сигнатуру для раннего обнаружения переговоров с вымогателями
Активность onion-сайта группы можно мониторить через публичные зеркала даркнет-аналитики — если пост появился, это подтвердит реализацию угрозы
Хеши шифровальщиков из таблиц индикаторов (например, d2fd0654710c27dcf37b6c1437880020824e161dd0bf28e3a133ed777242a0ca для w.exe) стоит добавить в правила детектирования EDR-систем.