Жертва 20230815 (84 сообщения)
Здравствуйте
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время. Есть ли у вас полномочия вести переговоры от имени организации?
Жертва
Да, у меня есть полномочия
Akira
Хорошо, спасибо. Скоро вернусь с дополнительной информацией.
Жертва
Хорошо, мы здесь и ждём.
Akira
Мы должны сообщить вам, что в данный момент испытываем технические проблемы. Все детали будут предоставлены не позднее понедельника. Приносим глубочайшие извинения. Тем временем, чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Жертва
Хорошо, подготовим для вас эти файлы. Какую сумму вы запрашиваете?
Akira
List.txt // 9,56 МБ
Akira
Это список файлов компании [redacted]. Мы работаем над транспортировкой файлов остальных компаний и скоро предоставим вам списки по ним. Мы готовы установить цену в 2 000 000 долларов США за все услуги, которые мы предлагаем.
Жертва
Хорошо, спасибо.
Жертва
Привет, когда мы можем ожидать получения дополнительных списков?
Akira
Через несколько часов.
Akira
[redacted]_full_listing.rar // 1,46 МБ
Akira
Это всё, чем мы владеем.
Akira
Учитывая тот факт, что мы владеем данными ещё двух компаний, мы пересмотрели цену за полный пакет — 2 400 000 долларов. Дайте знать, если вы заинтересованы в тестовой расшифровке или файлах для подтверждения. В случае быстрой оплаты мы можем сделать скидку.
Жертва
Скачиваем списки сейчас. Ценим ваше терпение.
Akira
Дайте знать, если вы заинтересованы в тестовой расшифровке и файлах для подтверждения. Ждём вашего ответа завтра.
Жертва
Хорошо, мы работаем над вашими запросами. Пожалуйста, дайте нам время изучить список файлов и отправить запрошенные файлы.
Akira
Пожалуйста, имейте в виду, что тесное сотрудничество с нами часто приводит к более позитивному завершению сделки.
Akira
Мы ждём вашего решения сегодня.
Жертва
Мы изучаем все списки файлов, которые вы нам дали. Скоро предоставим вам файлы. Ценим ваше терпение.
Akira
Не забывайте о файлах для тестовой расшифровки, если она вам нужна.
Жертва
Определённо ценим ваше терпение. Моя команда сильно напряжена из-за инцидента и работает над тем, чтобы как можно скорее предоставить вам файлы.
Akira
Ускорьтесь с вашей стороны, и ничего плохого не случится.
Жертва
Хорошо, понял, обязательно передам эту информацию своему начальству.
Akira
Если мы не получим ваше решение в течение следующих 24 часов, мы будем вынуждены объявить об утечке ваших корпоративных данных в нашем блоге.
Жертва
[redacted].edi.[redacted] // 793 байта
Жертва
[redacted].edi.[redacted] // 1,42 КБ
Жертва
[redacted].edi.[redacted] // 23,4 КБ
Жертва
[redacted].csv.[redacted] // 74,8 КБ
Жертва
[redacted].csv.[redacted] // 1,1 КБ
Жертва
Определённо ценим ваше терпение и сотрудничество с нами. Мы почти закончили изучение списка файлов и скоро предоставим вам файлы. Пока мы заканчиваем, не могли бы вы расшифровать эти файлы.
Akira
Да, я передал файлы в технический отдел. Пожалуйста, подождите.
Akira
files.zip // 14,8 КБ
Akira
Вот они. Пожалуйста, проверьте.
Жертва
Спасибо, скачиваем их для проверки. Предоставим обновление, когда сможем.
Akira
Нам нужно закрыть сделку на этой неделе. Вы успеваете?
Жертва
Мы работаем так быстро, как можем. Мы очень ценим ваше терпение с нами во всём этом. После изучения списков файлов, не могли бы вы предоставить следующие файлы, пожалуйста: Backlog detail 2021.xlsx, [redacted] Rate 10.24-10.28.22.xlsx, Keywords.xlsx, [redacted] Inspection Log 2023.xlsx, img20230508_[redacted].pdf, [redacted] Tax Codes.pdf, Interest Payment [redacted].pdf, Sales Service Agreement.docx, Annual Refiling Survey [redacted].pdf, [redacted] — Aug Insurance Exp [redacted].xls, [redacted] — Accrue Deprec for [redacted].xls, [redacted] — Clear Obsolete Inventory [redacted].xls, [redacted] — Loss on Sale & Liquidation of Assets [redacted].xls, [redacted].xls, [redacted].PDF, [redacted] Tests.xlsx, [redacted].PDF, [redacted].PDF
Akira
Слишком много файлов, но хорошо. Мы предоставим в ближайшее время. Тем временем, как дела со сбором средств?
Akira
[redacted].rar // 3,12 МБ
Akira
Вы можете проверить файлы.
Жертва
При проверке расшифрованных файлов, которые вы отправили обратно, мы заметили, что два из них не такие, как мы ожидали — они вернулись с пустыми полями. Не могли бы вы расшифровать прикреплённые файлы ещё раз и отправить нам обратно, чтобы мы могли подтвердить возможность расшифровки. Ценим, что вы работаете с нами.
Жертва
[redacted].csv.[redacted] // 74,8 КБ
Жертва
[redacted].csv.[redacted] // 1,1 КБ
Akira
Мы проверим, но у нас есть сомнения, что они повреждены. Если это попытка выиграть больше времени, ничего хорошего не будет. Пожалуйста, подождите.
Akira
Файлы в порядке. Через 24 часа мы объявим об утечке ваших корпоративных данных в нашем блоге. В начале следующей недели ваши данные будут опубликованы. Спасибо.
Жертва
Мы не тянем время, мы хотим убедиться, что процесс расшифровки восстанавливает данные в полном объёме. Два файла, о которых мы спрашиваем, похоже, потеряли поля в конце файлов.
Akira
Я попрошу перепроверить, но имейте в виду, что мы публикуем вас в нашем блоге завтра, если не будет решения об оплате с вашей стороны.
Жертва
У нас были очень хорошие резервные копии, и только около четверти наших данных зашифровано сейчас. У нас есть разрешение заплатить вам 800 000 долларов завтра за расшифровщики, подтверждение удаления данных и отчёт по безопасности. Утечка нашего названия сделает нашу способность заплатить гораздо сложнее. Пожалуйста, примите, чтобы мы могли оставить это позади.
Akira
Мы ценим это предложение, но всё, что мы можем сделать, — это дать вам скидку 20% в таких обстоятельствах.
Akira
У меня очень хорошие новости. Я разговаривал с высшим руководством, и они готовы принять 1,4 миллиона долларов сегодня за все указанные опции. В понедельник нам придётся вернуться к нашему предыдущему требованию. Есть ли у нас сделка сейчас?
Akira
Итак, я передал ваш запрос относительно этих файлов в технический отдел. После расшифровки эти же файлы увеличились в размере, а затем были повторно зашифрованы. После расшифровки файлы остались того же размера, что означает, что наш расшифровщик работает абсолютно корректно. Это также означает, что вы пытались играть нечестно и выиграть больше времени. Мы также сомневаемся в ваших историях о «хороших резервных копиях».
Основываясь на всём вышесказанном, наше предложение в 1,4 миллиона долларов при оплате сегодня остаётся в силе, но мы не примем ничего ниже 2 миллионов долларов в понедельник. Если вы откажетесь и нарушите сделку, мы просто опубликуем ваши материалы и забудем о вас.
Жертва
Большое спасибо за сотрудничество с нами. В знак доброй воли мы раскроем вам, что у нас есть только 1 000 000 долларов для работы. Мы можем заплатить вам всё это сегодня. Получить больше будет очень сложно и займёт ещё много дней. Пожалуйста, примите 1 миллион долларов, и мы отправим его вам сегодня.
Akira
Пожалуйста, подождите.
Akira
Хорошо, руководство одобрило эту сумму. Вот ID BTC-кошелька для оплаты: [redacted]
Akira
Как скоро вы сможете сделать перевод?
Жертва
Мы сейчас переводим деньги брокеру. Они говорят, что пара часов.
Akira
Хорошо, ждём.
Жертва
Для подтверждения: мы платим вам 1 000 000 долларов, и вы предоставите расшифровщики для всей сети для Linux и Windows, пообещаете не публиковать и не продавать наши данные, предоставите подтверждение удаления и отчёт по безопасности?
Akira
Мы подтверждаем условия.
Жертва
И гарантии отсутствия атак на нас в будущем
Akira
Конечно.
Жертва
Спасибо. Отправляем биткоин в ближайшее время
Akira
Ждём.
Жертва
Мы только что отправили тестовую транзакцию. Пожалуйста, подтвердите, и мы отправим остаток
Жертва
Тестовая транзакция подтверждена в блокчейне. Пожалуйста, подтвердите
Жертва
Здравствуйте?
Жертва
Мы вернёмся утром по восточному побережью США, чтобы отправить вам остаток
Akira
Здравствуйте. Мы получили 0,0001 BTC.
Жертва
Спасибо. Вы готовы получить остаток?
Жертва
Отправляем остаток
Жертва
Монета отправлена. Txid: [redacted]
Akira
Мы получили, спасибо. Пожалуйста, подождите сначала расшифровщик.
Akira
Мы предоставим всё в течение 24 часов. Спасибо за ваше терпение.
Жертва
Спасибо за обновление. Мы продолжим нервно ждать
Жертва
Просто проверяю. Пожалуйста, предоставьте обещанное в ближайшее время
Akira
decrypt.zip // 479 КБ
Akira
decrypt.exe Имя: decrypt
Использование: аргументы командной строки
Флаги: —path : Начальный путь —secret : Приватный ключ —logs : Печатать логи. Допустимые значения: trace, debug, error, info, warn. По умолчанию: off -h, —help : Показать справку
Информация о сборке: Версия: 2023.9.5 СЕКРЕТНЫЙ КЛЮЧ: «[redacted]»
decrypt.exe —path —secret : Приватный ключ —logs
decrypt.exe —path C:\ —secret [redacted] —logs trace decrypt.exe —secret [redacted] —logs trace
Жертва
Спасибо, мы сейчас работаем над этим. Не могли бы вы предоставить отчёт по безопасности или информацию о том, как вы попали к нам и что нам нужно делать лучше?
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете. Затем был проведён керберостинг, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за сотрудничество и внимательное отношение к вашей безопасности. Подтверждение удаления данных будет предоставлено в ближайшее время.
Жертва
Спасибо. Ждём подтверждения удаления.
Akira
[redacted] dellogs.rar // 524 КБ
Akira
В архиве три файла.
Анализ сделки с мультикомпанией: как работает давление через связанные юрлица
Этот лог показывает редкий сценарий: атакующие удерживают данные не одной, а нескольких связанных компаний. Стартовая цена в 2 миллиона долларов сразу выросла до 2,4 миллиона после упоминания «остальных компаний». Это не просто увеличение суммы — это изменение структуры давления.
Мультикомпания как рычаг
Когда злоумышленники заявляют о владении данными нескольких юрлиц, они создают эффект домино. Жертва начинает думать не только о собственных рисках, но и об ответственности перед партнёрами, дочерними структурами, клиентами. Это повышает воспринимаемую стоимость утечки и снижает порог готовности к оплате.
В данном кейсе финальная сумма в 1 миллион долларов — это всё ещё 58% дисконт от пикового требования. Но важно, что торг шёл не вокруг «платить или нет», а вокруг «сколько из запрошенного реально собрать». Это меняет динамику: атакующие не отменяют требование, а «идут навстречу» в рамках ваших ограничений.
«Технические проблемы» как тактика задержки
Фраза «мы испытываем технические проблемы» в начале диалога — не баг, а фича. Это создаёт паузу, в течение которой жертва остаётся в подвешенном состоянии: списки ещё не готовы, сумма не названа, но контакт уже установлен. Такая неопределённость усиливает тревожность и снижает способность к рациональной оценке.
Позже атакующие используют эту же тактику в обратную сторону: «мы почти закончили с загрузкой», «завтра ваши данные будут опубликованы». Динамическое управление временем — ключевой элемент их стратегии.
Обвинение в «нечестной игре» как точка перелома
Эпизод с «файлами с пустыми полями» интересен тем, что атакующие не просто исправляют ошибку, а используют её для обвинения жертвы в попытке затянуть время. Фраза «вы пытались играть нечестно» — это не технический комментарий, а психологический ход. Он переводит диалог из плоскости «проверка качества» в плоскость «доверие к намерениям».
Для жертвы это создаёт дилемму: настаивать на качестве расшифровки и рисковать эскалацией или принять результат и двигаться к оплате. В данном случае жертва выбрала второе — и это стало точкой перехода к финальному торгу.
Расшифровщик как технический артефакт
Предоставленный decrypt.exe — не просто утилита, а профессионально разработанный инструмент с документированным CLI. Параметры —path, —secret, —logs показывают, что расшифровщик спроектирован для гибкого использования: можно запускать на конкретный путь, можно передавать список путей через файл, можно включать логирование для отладки.
Это важно для технических команд: если расшифровщик получен, его можно интегрировать в процессы восстановления без ручного подбора параметров. Но есть и обратная сторона: наличие такого инструмента снижает барьер для повторных атак — атакующие знают, что жертва сможет восстановиться, и могут вернуться с новым требованием.
Ускоренная эксфильтрация: новый стандарт скорости
Это меняет правила игры: традиционные окна реагирования в 24-48 часов становятся недостаточными. Если в логах исходящего трафика появляется аномальная передача архивов или текстовых файлов с путями — это уже может быть поздней стадией атаки, а не ранним индикатором.Согласно отчётам исследователей, группа Akira способна завершить полный цикл от доступа до эксфильтрации данных менее чем за два часа
Индикаторы для детекции
[√] Паттерн имён файлов: [redacted]_full_listing.rar, List.txt с размером 1-10 МБ — может указывать на компрометацию данных нескольких связанных компаний
[√] Упоминание «остальных компаний» в переписке — маркер мультикомпанийного давления, характерный для зрелых операторов двойного шантажа
[√] Параметры расшифровщика —path, —secret, —logs — сигнатура для детектирования попыток запуска официального инструмента группы
[√] Тестовые биткоин-транзакции (0,0001 BTC) с последующим полным переводом — паттерн верификации оплаты, который можно отслеживать в блокчейн-обозревателях
[√] Аномальная передача данных через Veeam или другие системы резервного копирования — возможный индикатор ускоренной эксфильтрации, характерной для Akira
Где проверить самостоятельно
Размер и имя файла-списка можно сопоставить с логами исходящего трафика за период до инцидента — аномальная передача архивов с путями может быть индикатором подготовки к шантажу
Формулировки про «остальные компании» и «мультикомпанийное давление» стоит искать в логах чатов как сигнатуру для раннего обнаружения переговоров с вымогателями
Активность onion-сайта группы можно мониторить через публичные зеркала даркнет-аналитики — если пост появился, это подтвердит реализацию угрозы
Хеши расшифровщика и логов удаления стоит сверить с публичными базами индикаторов для корреляции с другими кейсами