Жертва 20230929 (58 сообщений)
и что теперь?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время. Есть ли у вас полномочия вести переговоры от имени организации?
Жертва
вы похитили данные? Что, типа файлы забрали?
Akira
list.rar // 375 КБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Жертва
Нам тоже нужно платить, да?
Akira
Конечно.
Жертва
Хорошо. Какая цена? Что мы получим взамен?
Akira
После оплаты вы получите расшифровщик для каждой из ваших систем и инструкцию по его использованию для конкретного файла или системы. Вы получите лог удаления, что означает полное форматирование и очистку дисков, на которых хранилась единственная копия ваших данных. Вы получите отчёт по безопасности, который включает информацию о том, как мы смогли проникнуть в вашу сеть, а также эксклюзивную информацию из первых рук о состоянии вашей сети и найденных уязвимостях. Более того, вы получите качественные технические рекомендации по устранению уязвимостей и укреплению сети для защиты внутренней и внешней инфраструктуры. Вы также получите письменные гарантии, что мы не продадим и не опубликуем ваши данные, сохраним эту беседу в тайне и удалим этот чат позже. Мы не вернёмся за дополнительными деньгами после оплаты и не атакуем вас снова.
Скоро сообщу цену, мы изучаем ваши финансовые документы, чтобы сформировать обоснованное требование.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы готовы установить цену в 300 000 долларов США за ВСЕ услуги, которые мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем.
Сообщите, интересует ли вас полный пакет или отдельные пункты.
Жертва
Есть ли шанс, что вы поделитесь паролем от нашего VCenter? Мы опасаемся, что оборудование теперь повреждено
Akira
Мы не меняли пароль от вашего VCenter.
Жертва
Ну… наши учётные данные не работают… что-то сломалось
Akira
Ваш VCenter был в качестве виртуальной машины на одном из серверов ESXi. Все ВМ на этом ESXi были зашифрованы, поэтому вы не можете войти в свой VCenter. После оплаты вы сможете получить доступ к любым вашим данным и серверам.
Жертва
То есть пароль хоста был изменён?
Жертва
ВМ зашифрованы или удалены?
Akira
Определённо зашифрованы.
Akira
Пароль хоста был изменён, верно. Вы получите пароль после оплаты.
Жертва
Нам нужно знать, целы ли ВМ, прежде чем мы заплатим, пожалуйста… поэтому нужен ограниченный доступ к хосту
Akira
Мы не можем предоставить, извините. Всё, что мы можем предложить, — это выбрать 2-3 зашифрованных файла и загрузить их в наш чат, чтобы мы могли загрузить обратно расшифрованные копии для вашего спокойствия.
Жертва
Хорошо, я не уверен, что мы захотим платить что-либо, если не сможем проверить, что ВМ просто зашифрованы, а не удалены или повреждены иным способом. Спасибо
Жертва
[redacted].jpg
Жертва
[redacted]
Жертва
[redacted].docx
Akira
Мы скоро предоставим эти файлы. Также вы загрузите файлы для расшифровки?
Akira
[redacted]files.rar // 1,28 МБ
Жертва
Какова разбивка цен на услуги — если мы решим платить?
Akira
Полная помощь в расшифровке стоит 150 тысяч в вашем случае, подтверждение удаления данных — 125 тысяч, а отчёт по безопасности — 25 тысяч. Все гарантии предоставляются по умолчанию.
Жертва
Хорошо
Akira
Нам нужно ваше решение.
Akira
Мы добавим ваше название в наш блог сегодня.
Жертва
Как часть местного правительства, такие решения требуют участия всех заинтересованных сторон. Это значит, что процессы идут медленно
Akira
Значит, всем причастным нужно поторопиться. Мы не будем долго ждать.
Жертва
Какая у вас лучшая цена?
Akira
За полный пакет?
Жертва
Да. Мы заинтересованы в полном пакете.
Akira
Мы готовы принять 250 000 долларов.
Жертва
Хорошо. Я поделюсь вашим предложением с советом сегодня вечером или утром. Спасибо
Akira
Пожалуйста, поторопитесь с вашей стороны.
Жертва
Наш совет одобряет сумму на этом уровне: 137 000 долларов — средства сверх этой суммы имеют другие местные регуляторные препятствия.
Akira
Мы обсудим внутренне.
Akira
Руководство решило принять ваше предложение. Скоро предоставлю вам ID BTC-кошелька.
Akira
Вот он: [redacted] Ожидаем получение оплаты в течение следующих 24 часов.
Жертва
24 часа. Ого! Мы сделаем всё возможное. Спасибо
Akira
Мы верим в вас.
Жертва
Они сказали, что понедельник — это самое раннее, когда они смогут заплатить.
Akira
Мы подождем.
Akira
Уже вторник. Если мы не получим оплату в течение 24 часов, вы увидите своё название в нашем блоге. Ваши данные будут загружены до выходных таким образом.
Akira
Вы можете найти себя в нашей новостной колонке: https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion/ Если вы хотите, чтобы этот пост был удалён, нам нужно о чём-то договориться.
Жертва
Мы не можем собрать средства так быстро, как вам хочется. Теперь, когда вы сообщили всем, получить средства будет ещё сложнее. Почему вы это сделали???
Akira
Мы не можем читать ваши мысли. Вы оставили нас почти 10 дней назад и не написали ни слова. Поторопитесь с вашей стороны. Пост будет удалён сразу после оплаты.
Жертва
Тот ли BTC-кошелёк ещё можно использовать?
Akira
Здравствуйте. Конечно, вы можете его использовать.
Akira
Когда мы увидим перевод? Мы не будем ждать ещё неделю. Либо мы публикуем ваши данные до выходных, либо получаем оплату и закрываем вопрос.
Жертва
Где лучше/правильнее покупать биткоин?
Akira
Да ладно, ребята. Если бы вы действительно хотели заплатить, вы бы сделали это пару недель назад. Не тратьте наше время, пожалуйста, покиньте этот чат. Нам абсолютно всё равно на эту скромную сумму, так что ваши данные скоро будут опубликованы.
Жертва
где
Akira
Вы узнаете.
Анализ переговоров с госсектором: когда регуляторные лимиты становятся частью сделки
Этот кейс выделяется на фоне других: жертва — структура местного самоуправления. Это меняет всю динамику торга. Не «сколько можем собрать», а «сколько разрешено потратить по регламенту». Фраза «137 000 долларов — средства сверх этой суммы имеют регуляторные препятствия» — не торг, а констатация бюрократического потолка.
Почему публичный сектор — сложная цель для вымогателей
Государственные структуры работают по иным правилам. Решение о выплате требует согласования с советом, прохождения регуляторных процедур, иногда — публичных слушаний. Это создаёт естественное трение: даже если руководство готово платить, процесс не может быть быстрым.
Атакующие понимают это, но не могут полностью адаптировать свою модель под такие ограничения. Угроза публикации через 24 часа работает на коммерческих жертвах, где репутационный ущерб измеряется в потерянных контрактах. Для госсектора публикация — это ещё и политический риск, который может замедлить, а не ускорить решение.
Технический спор о виртуализации: зашифровано или удалено
Диалог про VCenter и ESXi — редкая деталь в логах. Жертва спрашивает не «как расшифровать», а «целы ли ВМ». Это принципиально иной вопрос: если виртуальные машины удалены или повреждены на уровне гипервизора, расшифровщик бесполезен.
Ответ атакующих («пароль хоста был изменён, вы получите его после оплаты») показывает, что они контролируют доступ на уровне инфраструктуры, а не просто зашифровали файлы. Это меняет профиль риска: восстановление требует не только расшифровщика, но и возврата контроля над гипервизором.
Для технических команд это сигнал: при атаках на виртуализированные среды нужно проверять не только зашифрованные файлы, но и целостность конфигураций гипервизора, доступность управляющих интерфейсов, состояние снапшотов.
Разбивка цены как инструмент прозрачности
Запрос жертвы «какова разбивка цен» и ответ с детализацией (150к за расшифровку, 125к за удаление, 25к за отчёт) — необычный ход. Обычно вымогатели называют итоговую сумму без пояснений.
Здесь атакующие идут навстречу, возможно, чтобы показать «обоснованность» требования. Но для жертвы это создаёт возможность торга по пунктам: «нам не нужен отчёт, давайте только расшифровку». В данном кейсе жертва в итоге выбирает полный пакет, но сам факт обсуждения структуры цены — маркер более зрелого диалога.
Публикация как эскалация, которая не всегда работает
В этом логе угроза реализуется: жертва появляется на onion-сайте группы. Но это не приводит к немедленной оплате. Наоборот, жертва спрашивает: «почему вы это сделали, теперь собрать средства ещё сложнее».
Это показывает ограничение тактики публикации: для госсектора публичность может не ускорить, а замедлить процесс. Политическое давление, необходимость отчитываться перед вышестоящими органами, публичные слушания — всё это добавляет трение, которое атакующие не всегда могут учесть.
Финал: вопрос «где купить биткоин» как индикатор
Последние сообщения — жертва спрашивает, где правильно покупать биткоин. Атакующие отвечают с раздражением: «если бы хотели заплатить, сделали бы это раньше».
Этот обмен может означать две вещи. Первая: жертва действительно не имеет опыта работы с криптовалютами и нуждается в инструкции. Вторая: вопрос задаётся для затягивания времени, когда реального намерения платить нет.
Для атакующих это точка принятия решения: продолжать диалог или закрывать сделку. В данном случае они выбирают второе — и это редкий пример, когда переговоры обрываются без финальной оплаты.
Индикаторы для детекции
[√] Упоминание «местное правительство», «совет», «регуляторные препятствия» в переписке — маркер переговоров с публичным сектором, где динамика торга отличается от коммерческих жертв
[√] Вопросы про VCenter, ESXi, пароль хоста — индикатор атаки на виртуализированную инфраструктуру, требующий проверки целостности гипервизора
[√] Запрос разбивки цены по услугам — сигнатура для детектирования более зрелых переговоров, где жертва пытается оптимизировать затраты
[√] Реализованная угроза публикации без последующей быстрой оплаты — паттерн, характерный для госсектора, где публичность не всегда ускоряет решение
[√] Вопрос «где купить биткоин» в финале диалога — возможный индикатор отсутствия реального намерения платить или крайней неопытности жертвы в криптотранзакциях
Где проверить самостоятельно
Логи доступа к интерфейсам управления виртуализацией (vCenter, ESXi) на предмет аномальных изменений паролей или конфигураций можно проверить через системы мониторинга инфраструктуры
Формулировки про «регуляторные лимиты» и «согласование с советом» стоит искать в логах чатов как сигнатуру для классификации жертвы как госсектора
Активность onion-сайта группы можно мониторить через публичные зеркала даркнет-аналитики — если пост появился и оплата не последовала быстро, это может указывать на специфику публичного сектора
Вопросы про покупку криптовалюты в переписке с вымогателями можно использовать как индикатор для оценки вероятности завершения сделки