Akira 20230727 (72 сообщения)
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время.
Есть ли у вас полномочия вести переговоры от имени организации?
Akira
list.txt.7z // 3,97 МБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Akira
Пожалуйста, сообщите, заинтересованы ли вы в сохранении конфиденциальности инцидента. Ваше молчание будет расценено как отрицательный ответ.
Akira
Вы можете найти себя в нашей новостной колонке: https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion/ Если вы хотите, чтобы этот пост был удалён, нам нужно о чём-то договориться.
Жертва
Мы нашли вашу записку на наших компьютерах. Что нам делать дальше?
Akira
Здравствуйте. Вы видите сообщения выше?
Жертва
Да. Мы скачали список и сейчас изучаем его. Если мы придём к соглашению, пожалуйста, удалите наше название с вашего сайта.
Akira
Пост будет удалён после оплаты.
Жертва
Пожалуйста, отправьте обратно следующие файлы: D:[redacted].com\unpacked\T_Drive\Citrix\Applications\CommuniCap[redacted]\WordDocs[redacted]letter.doc D:[redacted].com\unpacked\T_Drive\clients[redacted]\Client\Archive[redacted].xls D:[redacted].com\unpacked\T_Drive\Images[redacted]\Client[redacted].pdf
Akira
[redacted].pdf // 1,66 МБ
Akira
[redacted]letter.doc // 21,4 КБ
Akira
[redacted].xls // 26,4 КБ
Akira
Вот файлы. Хотите дать нам файлы для тестовой расшифровки или можем перейти к деталям оплаты?
Akira
Здравствуйте. Дайте знать, если вы заинтересованы в этой сделке. Если вы не ответите нам сегодня, мы будем вынуждены перейти к загрузке ваших данных в наш блог.
Жертва
Мы сейчас работаем над тем, чтобы подготовить тестовые файлы. Мы хотим урегуровать это с вами и сохранить всё в тайне, но не понимаем, как это работает. Сколько стоит урегулирование?
Akira
Скоро сообщу.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать требование. Мы готовы установить цену в 250 000 долларов США за ВСЕ услуги, которые мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Akira
Итак, где файлы?
Akira
Здравствуйте. Мы загрузим ваши данные в наш блог, если не получим от вас ответ до понедельника.
Жертва
Спасибо за терпение, пока мы пытались подготовить файлы для отправки. Можете расшифровать эти?
Жертва
akira files.zip // 16,1 КБ
Akira
Мы загрузим их позже.
Akira
[redacted].msc // 65,7 КБ
Akira
[redacted].ps1 // 601 байт
Akira
[redacted].ps1 // 915 байт
Akira
[redacted].bat // 49 байт
Akira
Файлы расшифрованы. Нам нужно перейти к деталям оплаты.
Жертва
Спасибо за файлы. Мы изучаем наши потребности в расшифровке и скоро ответим.
Akira
Мы ждём вашего ответа сегодня.
Akira
Ребята, ваши 600 ГБ данных скоро будут опубликованы, если мы не получим от вас ответ в течение 12 часов.
Жертва
Сообщаем, что мы всё ещё на связи и работаем над ответом. Пожалуйста, подождите.
Akira
Надеемся на это. Мы не будем ждать ещё два дня.
Akira
Итак, какое ваше решение? Мы почти закончили с загрузкой.
Жертва
Руководство провело встречу, и мы хотели бы обсудить переговоры и прийти к соглашению по сумме. Мы небольшой частный бизнес, и 250 000 долларов — нереальная для нас сумма. У нас очень мало капитала, мы работаем на заёмные средства. Пожалуйста, снизьте сумму до пятизначного диапазона. Наше руководство готово платить.
Akira
Пожалуйста, перестаньте пытаться нас обмануть. Ваш бизнес способен заплатить запрошенную сумму. Предложите сумму больше пяти знаков, и мы сможем урегулировать вопрос. Мы можем пойти навстречу и снизить до 200 000 долларов.
Жертва
Мы ценим вашу готовность к переговорам и хотим прояснить, что не пытаемся вас обмануть. Все средства на наших счетах заёмные и уже распределены, то есть они нам не принадлежат. Мы хотели бы предложить 90 000 долларов исходя из того, что, как мы считаем, сможем собрать. Мы знаем, что это ниже ваших ожиданий, и пожалуйста, поймите, что мы действительно делаем всё возможное, чтобы выжить. Если мы сможем заплатить это относительно быстро, примете ли вы эту сумму?
Akira
Нам нужно предложение из шести знаков от вас, чтобы завершить сделку. Мы готовы принять 170 000 долларов за данные, которыми владеем.
Жертва
Спасибо ещё раз за вашу постоянную готовность работать с нами и понимание нашей ситуации. Шесть знаков — это сложно для нас по причинам, которые мы упоминали ранее. Дайте нам посмотреть, что мы можем сделать, и мы предоставим вам обновление завтра или во вторник. Можете ли вы ещё раз подтвердить, что мы получим, если заплатим вам?
Akira
Как только мы договоримся о цене и получим оплату, вы получите:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Akira
Ждём достойного предложения с вашей стороны.
Жертва
Наше руководство провело встречу в качестве команды в выходные. Они проработали все наши варианты и смогли найти 105 468 долларов. Они задействовали всё, что у нас есть как у компании. Пожалуйста, примите наше предложение, чтобы мы все могли двигаться дальше.
Akira
Здравствуйте. Мы готовы принять 110 000 долларов как окончательную сумму. Вот ID BTC-кошелька для оплаты: [redacted]
Жертва
Спасибо за ваше рассмотрение. Наше руководство сейчас обсуждает.
Akira
Есть прогресс?
Akira
Ну, ваши обсуждения занимают так много времени. Я готовлю ваши файлы для загрузки в наш блог. Завтра ваши данные будут доступны для скачивания.
Жертва
Мы согласны заплатить 110 000 долларов на кошелёк [redacted], но нам нужно время, чтобы собрать средства и купить биткоин. Мы также хотели бы получить гарантию, что получим следующее:
• Универсальный инструмент расшифровки и полную помощь в расшифровке.
• Доказательство того, что вы уничтожили все копии наших данных.
• Детальный отчёт по безопасности о том, как вы скомпрометировали наши системы.
• Удаление нашего названия с вашего сайта и гарантия непубликации или непередачи данных.
• Гарантии отсутствия атак на нас в будущем.
Akira
Вы определённо получите всё, что вы указали выше. Когда мы можем ожидать перевод?
Жертва
Мы входим в выходные и нам нужно поработать с нашими банками, чтобы получить средства. Мы сможем произвести оплату в начале следующей недели.
Akira
Хорошо. Мы можем подождать до понедельника. Сообщайте о ваших шагах.
Akira
Есть обновления?
Жертва
Спасибо, что связались. У нас сегодня возникли проблемы с получением денег от нашего банка. Мы полностью намерены выполнить оплату, но может понадобиться ещё один день.
Akira
У вас есть 24 часа, чтобы разобраться с этим. В противном случае мы будем вынуждены закрыть этот случай.
Akira
Здравствуйте. Проверяю ваш статус.
Akira
Мы получили 0,00001 BTC. Ждём остальное.
Жертва
Спасибо. Мы сейчас работаем над отправкой оставшейся суммы.
Жертва
Мы отправили оплату. Пожалуйста, подтвердите получение.
Akira
Мы получили средства, спасибо. Пожалуйста, подождите все обещанные материалы.
Akira
win_unlocker_[redacted].ex_ // 478 КБ
Akira
logs_erase.rar // 6,99 МБ
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете. Затем был проведён керберостинг, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д. Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за сотрудничество и внимательное отношение к вашей безопасности.
Жертва
Пожалуйста, отправьте нам инструкции по использованию расшифровщика.
Жертва
Мы попробовали запустить его на некоторых файлах, и он не работает.
Akira
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» — это список путей для расшифровщика, каждый путь с новой строки
Жертва
Пожалуйста, удалите наше название с вашего сайта.
Akira
Пост удалён.
Анализ завершённой сделки: как работает торг от 250к до 110к
Этот лог интересен тем, что показывает полный цикл переговоров с реальным финалом: оплата получена, расшифровщик передан, пост удалён. Такие случаи редко попадают в публичные отчёты — чаще мы видим либо обрыв на этапе угроз, либо публикацию данных без финала.
Почему жертва смогла снизить цену более чем вдвое
Ключевой момент — фрейминг «мы небольшой частный бизнес, работаем на заёмные средства». Это не просто жалоба, а стратегическое позиционирование. Жертва не говорит «мы не хотим платить», она говорит «мы физически не можем собрать такую сумму». Это меняет динамику: атакующие начинают обсуждать не «платить или нет», а «как найти компромисс в рамках ваших ограничений».
Важно, что жертва не молчит и не исчезает. Каждое сообщение атакующих получает ответ, даже если это просто «мы работаем над этим». Это поддерживает иллюзию диалога и не даёт атакующим повода для эскалации через публикацию.
Технический пост-мортем от атакующих: редкая деталь
Фраза «керберостинг → хеши паролей → подбор → доменный админ» — это не шаблонный текст. Это конкретная цепочка компрометации, которая совпадает с публичными отчётами по тактикам Akira. Группа действительно использует Kerberoasting для получения хешей сервисных учётных записей, затем офлайн-подбор через Hashcat или аналогичные инструменты, затем горизонтальное перемещение с правами доменного администратора.
Для специалистов по реагированию это ценная информация: если в логах есть аномальные запросы к Kerberos с типом билета 23 (TGS-REQ) и последующие попытки подбора хешей, это может быть ранним индикатором подготовки к шифрованию.
Процесс оплаты частичный платёж как проверка
Эпизод с «мы получили 0,00001 BTC» — не техническая деталь, а часть процесса верификации. Атакующие проверяют, что жертва действительно контролирует кошелёк и способна провести транзакцию. Только после этого они переходят к передаче материалов.
Это защищает и атакующих (от фейковых транзакций), и жертву (от ситуации, когда расшифровщик не приходит после полной оплаты). Для расследований это означает, что в блокчейне нужно искать не одну крупную транзакцию, а цепочку: тестовая → основная → подтверждение.
Расшифровщик: почему он «не работает» при первом запуске
Сообщение жертвы «он не работает» и ответ с параметрами -p и -s показывают, что инструмент требует явного указания путей. Это не баг, а особенность дизайна: расшифровщик не сканирует диск автоматически, чтобы избежать случайного повреждения файлов или триггеров EDR.
Для технических команд это означает, что при получении расшифровщика нужно сразу готовить файл paths.txt со списком зашифрованных директорий. Иначе время будет потрачено на отладку, а не на восстановление.
Что зафиксировать в отчёте
Траектория торга: 250к → 200к → 170к → 110к финал. Это показывает, что для малых бизнесов с чёткой аргументацией диапазон снижения может достигать 55-60% от стартовой цены.
Техническая цепочка: покупка доступа → Kerberoasting → подбор хешей → доменный админ. Это позволяет коррелировать инцидент с другими кейсами, где фиксировались аналогичные этапы.
Формат расшифровщика: параметры -p для пути и -s для файла со списком путей. Это стоит документировать в инструкциях по восстановлению, если расшифровщик получен.
Индикаторы для детекции
[√] Аномальные Kerberos TGS-REQ запросы с последующим офлайн-подбором хешей — маркер подготовки к горизонтальному перемещению
[√] Файлы с именами win_unlocker_*.ex_, logs_erase.rar в исходящем трафике после оплаты — индикатор пост-операционной передачи материалов
[√] Параметры командной строки -p= и -s= в процессах с подозрительными исполняемыми файлами — сигнатура для детектирования попыток запуска расшифровщика
[√] Частичные биткоин-транзакции (менее 0,001 BTC) с последующим полным переводом на тот же адрес — паттерн верификации оплаты
Где проверить самостоятельно
Логи Kerberos на предмет аномального количества TGS-REQ запросов от одной учётной записи можно проверить через SIEM-правила, настроенные на детектирование Kerberoasting
Блокчейн-транзакции по адресу кошелька из лога можно отследить через публичные обозреватели (blockchain.com, blockchair.com) — это поможет установить связь с другими инцидентами
Хеши файлов расшифровщика и логов удаления стоит сверить с публичными базами индикаторов (например, от отечественных ИБ-сообществ) для корреляции с другими кейсами