Akira 20231115 (81 сообщение)
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы формируем перечень данных, которые похитили из вашей сети. Пока вам нужно понять: сотрудничество с нами — самый быстрый и бюджетный способ закрыть вопрос. Оставайтесь на связи, не торопите события. Мы вернёмся к вам в ближайшее время. Есть ли у вас полномочия вести переговоры от имени организации? Как только мы получим ответ, вам будут предоставлены все детали.
Жертва
Да, я уполномочен говорить с вами от имени нашей организации. Почему вы сделали это с нами? Мы некоммерческая организация, которая предоставляет бесплатные услуги бедным и бездомным женщинам. Это ужасное событие для нас, и вы наносите наибольший вред именно этим женщинам своими действиями. Мы отчаянно просим вас пересмотреть содеянное и позволить нам как можно скорее восстановить нормальную работу. Эти люди нуждаются в нашей помощи, и нам нужна ваша помощь, чтобы вернуться к нормальной жизни. Мы умоляем вас поступить правильно.
Akira
Давайте поступим правильно — урегулируем это быстро, и люди, о которых вы заботитесь, продолжат получать помощь.
Akira
List.txt // 812 КБ
Akira
Эти файлы были похищены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как подтверждение владения. Чтобы доказать, что мы способны корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, а мы вернём их расшифрованные копии.
Жертва
Что именно вы хотите от нас, если не хотите помочь отменить содеянное?
Akira
Мы изучаем ваши файлы, чтобы рассчитать справедливую сумму требования. Скоро сообщу итог. Мы предлагаем:
- полную помощь в расшифровке;
- подтверждение удаления данных;
- отчёт об уязвимостях, которые мы обнаружили;
- гарантии непубликации и непередачи ваших данных третьим лицам;
- гарантии отсутствия атак на вас в будущем. Сообщите, интересует ли вас полный пакет или отдельные пункты. От этого зависит итоговая цена.
Жертва
Нам нужно, чтобы всё вернулось в норму
Жертва
Мы некоммерческая организация. У нас не так много денег.
Akira
Мы не будем запрашивать много денег. Мы запросим то, что вы можете себе позволить.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели ваши банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая может помочь нам рассчитать требование. Мы готовы установить цену в 250 000 долларов США за ВСЕ услуги, которые мы предлагаем.
Жертва
Не позволяйте финансовой отчётности ввести вас в заблуждение. Мы некоммерческая организация, а значит все поступающие средства — это не доход. Они тратятся на бесплатные услуги, которые мы предоставляем более [redacted] тысяч женщин ежегодно. Еда, жильё, консультации и многие другие услуги, чтобы помочь этим женщинам выжить. Мы делаем всё это бесплатно, и все деньги, которые мы используем, жертвуются нам. Если мы отдадим вам такие деньги, это значит, что многим людям мы не сможем помочь. Это значит, что люди не смогут поесть или найти место для сна. Пожалуйста, будьте более разумны и подумайте, если бы одна из этих женщин была кем-то, кто дорог вам. Кем-то, кого вы любите. У вас должно быть хоть какое-то чувство человечности, чтобы поступить правильно.
Akira
Нас не особо смущает ваша финансовая отчётность. Если вы заботитесь о людях и несёте за них ответственность, вы должны их защищать. Если вы посмотрите на список, который мы вам дали, вы увидите, какую информацию мы получили о людях, за которых вы отвечаете. Как это произошло? Они были недостаточно защищены, и их документы похитили. Представьте, что документы принадлежали кому-то, кто действительно дорог вам. Но поскольку у вас есть киберстраховка, вы можете предотвратить утечку. Так сделайте это. Дайте знать, если вы заинтересованы в доказательствах или тестовой расшифровке, чтобы мы могли всё ускорить. Если вы будете действовать быстро, мы можем дать скидку 20%.
Жертва
Пожалуйста, покажите эти 3 файла
Жертва
[redacted].xls
Жертва
[redacted].pdf
Жертва
[redacted].pdf
Akira
Пожалуйста, подождите.
Akira
[redacted].rar // 304 КБ
Akira
Хотите проверить наш инструмент расшифровки?
Жертва
Да, мы хотим проверить, но нам нужен доступ к файлам. У нас их ещё нет
Akira
Когда примерно мы можем ожидать файлы?
Жертва
[redacted].vbm.akira // 797 КБ
Жертва
[redacted].vbm.akira // 515 КБ
Жертва
[redacted].vbm.akira // 844 КБ
Жертва
Пожалуйста, покажите, что вы можете разблокировать эти
Akira
Скоро загрузим их расшифрованными.
Akira
[redacted].vbm // 797 КБ
Akira
[redacted].vbm // 514 КБ
Akira
[redacted].vbm // 844 КБ
Akira
Вы можете проверить файлы.
Жертва
Нам придётся найти, где собрать средства для оплаты. Как приют для бездомных, все наши деньги — это пожертвования, и у нас нет такой суммы, поэтому мы посмотрим, что сможем придумать. Мы сможем вернуться к вам в понедельник, чтобы, надеюсь, заключить сделку.
Жертва
Мы только что проверили эти файлы, и изменений нет. Они всё ещё зашифрованы.
Akira
Мы проверим и вернёмся к вам.
Akira
[redacted].vbm // 796 КБ
Akira
[redacted].vbm // 514 КБ
Akira
[redacted].vbm // 844 КБ
Akira
Пожалуйста, проверьте эти.
Akira
Мы будем ждать вашего предложения до понедельника. Хороших выходных.
Жертва
Как уже упоминалось, нам очень сложно иметь много денег. То, что мы можем предложить вам на данный момент, это всего 50 000 долларов. Пожалуйста, поймите, что как приют для бездомных это в 200 раз больше денег, чем мы начали как организация. Мы полагаемся на эти деньги, чтобы обслуживать сообщество бездомных, и мы всё ещё надеемся и молим, что вы сжалитесь над нами и предложите вернуть всё бесплатно. Если вы сможете найти в себе добрую волю, то есть.
Akira
Мы определённо не можем принять такую скромную сумму. Вам нужно было начинать хотя бы с шестизначных сумм.
Жертва
Что мы должны делать, если у нас нет таких денег? Мы благотворительная организация! Почему вы не можете нам помочь? Мы пытаемся вам что-то предложить. Мы делаем что можем.
Жертва
Есть ли что-то, что вы можете сделать для нас, чтобы мы могли заплатить вам сумму, которую вы можете принять? Это наши операционные средства, которые мы должны использовать. Это означает ухудшение наших услуг для людей, которым мы помогаем.
Жертва
*ухудшение
Akira
Мы хорошо знаем, что вы благотворительная организация. Мы также знаем, что у вас достаточно средств, чтобы покрыть наше первоначальное требование. В любом случае, руководство одобрило сумму в 190 000 долларов. Лучший вариант для вас, чтобы вернуться в строй и продолжать помогать людям.
Жертва
Я благодарю вас за сотрудничество. Это очень ценится. Однако я не знаю, как заставить вас понять: у нас ДЕЙСТВИТЕЛЬНО нет средств, чтобы покрыть первоначальную сумму, и, честно говоря, даже эту сумму. Это сломает нас, и мы будем вынуждены закрыться. Мы не сможем тогда никому помочь. Приюты для бездомных, которыми мы управляем более 50 лет, будут вынуждены закрыться. Быстро приближается холодная погода, и это значит, что тысячи женщин, которых мы не сможем разместить, столкнутся с ещё большими трудностями, чем у них уже есть. В таком случае не имеет смысла платить вам, если это означает сохранение нашего выживания. Я вернусь и посмотрю, что мы можем сделать, но мы просим вас пожалуйста сделать то же самое. Пожалуйста, посетите наш сайт и посмотрите нашу миссию и людей, которые зависят от нас. [redacted]. Давайте работать вместе над решением, где все получат то, что хотят. Я вернусь к вам после того, как посмотрю, что ещё мы можем сделать.
Akira
Ждём.
Жертва
Из-за всех расходов от этого инцидента и того, что мы должны заплатить для восстановления, у нас нет операционных средств самостоятельно, чтобы покрыть всё плюс заплатить вам. К счастью, я нашёл кого-то достаточно великодушного, чтобы пожертвовать нам немного денег. Дополнительная сумма, которую мы можем обеспечить, доведёт нас до 75 000 долларов. Пожалуйста, скажите нам, что вы примете это, потому что иначе у нас не останется вариантов.
Akira
Спасибо за обновление. Мы видим, что вы хотите урегулировать инцидент с нами, поэтому мы можем снизить цену и принять 170 000 долларов. Мы можем немного подождать лучшее предложение от вас. Может быть, будет ещё одно пожертвование, которое позволит вам завершить нашу сделку.
Жертва
Могу ли я поговорить с вашим начальником или кем-то другим выше? Потому что я не думаю, что вы понимаете. Если мы не сможем договориться, то вы не получите ничего. Я не знаю, как мы можем получить больше, чтобы дать вам.
Жертва
У меня нервный срыв здесь, я смертельно беспокоюсь о нашей организации. Пожалуйста, ответьте мне. Нам действительно нужно найти решение этой проблемы. У нас нет таких денег.
Akira
Скоро дам знать.
Жертва
Спасибо
Akira
Моя команда хорошо осведомлена о ситуации. Мне подтвердили, что мы не можем принять от вас никакую сумму меньше шестизначной. Мы хотели бы завершить это быстро, но есть правила.
Akira
Ну, мы обсудили случай внутренне. Принимая во внимание вашу финансовую ситуацию, моё руководство решило пойти навстречу и получить 135 000 долларов за закрытие дела.
Жертва
Я хотел бы, чтобы у нас было столько, чтобы дать вам, и мы могли завершить этот процесс. К сожалению, у нас этого нет. После перемещения некоторых вещей на нашей стороне и дополнительных сокращений я могу предложить вам 88 500 долларов, и тогда мы сможем закончить. Это лучшее, что я могу сделать в это трудное для нас время.
Жертва
Я надеюсь, что это достаточно близко к шестизначной сумме, чтобы вы рассмотрели.
Akira
Мы видим, что мы ближе к разрешению, чем когда-либо. Поэтому мы готовы принять 100 000 долларов в течение следующих 24 часов. Так что это дополнительная скидка от нас, и у вас есть время собрать сумму. Я полагаю, что это лучший финал для обеих сторон на данный момент. Вы можете пополнить этот BTC-кошелёк, когда будете готовы [redacted]
Жертва
Я посмотрю, что могу сделать, чтобы добраться до этого. Дам знать. Спасибо.
Жертва
Просто чтобы я был уверен, все эти вещи, которые вы сказали, что дадите, всё ещё актуальны? «1) полная помощь в расшифровке; 2) подтверждение удаления данных; 3) отчёт об уязвимостях, которые мы обнаружили; 4) гарантии непубликации и непередачи ваших данных третьим лицам; 5) гарантии отсутствия атак на вас в будущем.»
Akira
Да, они актуальны.
Жертва
Хорошо, спасибо. Буду на связи.
Akira
Ждём.
Жертва
Хорошо, мы разобрались с финансированием и можем заплатить вам 100 000 долларов. Мы будем работать над тем, чтобы отправить это вам сегодня. Я дам вам знать больше о сроках, когда это станет ближе.
Akira
Хорошо. Спасибо.
Жертва
Мы готовы. Адрес [redacted] верный?
Жертва
Здравствуйте?
Akira
Да, адрес [redacted]
Жертва
Спасибо. Ждите оплату
Жертва
Оплата отправлена
Жертва
Пожалуйста, подтвердите получение
Akira
Мы подтверждаем получение. Пожалуйста, подождите.
Жертва
Как долго, по вашему мнению, это займёт?
Akira
decryptors.zip // 3,04 МБ
Akira
unlocker.exe -p=»путь_к_расшифровке» unlocker.exe -s=»C:\paths.txt» где «paths.txt» — это список путей для расшифровщика, каждый путь с новой строки те же аргументы работают с расшифровщиком ESXi
Жертва
Спасибо. Пожалуйста, предоставьте подтверждение удаления данных и отчёт по безопасности об уязвимостях, которые вы нашли
Akira
Пожалуйста, подождите остальные предметы в течение 24 часов.
Жертва
Есть обновления для меня?
Akira
Подождите немного.
Akira
Deletion [redacted].txt // 2,05 МБ
Akira
Первоначальный доступ к вашей сети был приобретён в даркнете. Затем был проведён керберостинг, и мы получили хеши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, мы обнаружили несколько ошибок, которые настоятельно рекомендуем устранить:
- Ни одному из ваших сотрудников не следует открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте сложные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите двухфакторную аутентификацию везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте промежуточный хост для вашего VPN. Используйте на нём уникальные учётные данные, отличные от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает ключ-токен.
- Как можно чаще инструктируйте своих сотрудников о мерах предосторожности в интернете. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д. Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за сотрудничество и внимательное отношение к вашей безопасности.
Анализ кейса: как эмоциональные аргументы работают в переговорах с вымогателями
Этот лог выделяется на фоне других тем, что жертва использует моральные и эмоциональные аргументы как основной инструмент торга. Фразы вроде «подумайте, если бы одна из этих женщин была кем-то, кто дорог вам» и «у вас должно быть хоть какое-то чувство человечности» — не просто отчаяние, а осознанная стратегия.
Почему атакующие не игнорируют моральные апелляции
Группа не обрывает диалог, не отвечает агрессией на призывы к человечности. Наоборот, они используют язык жертвы: «давайте поступим правильно». Это не сентиментальность, а расчёт. Если жертва эмоционально вовлечена, она с большей вероятностью продолжит диалог, даже если не может заплатить полную сумму.
Важно, что атакующие не отрицают социальную значимость жертвы. Они говорят: «если вы заботитесь о людях, вы должны их защищать». Это переворачивает аргумент: не «мы злые, вы хорошие», а «вы не защитили, поэтому несёте ответственность». Такой приём сохраняет давление, не отвергая моральную позицию жертвы.
Финансовая прозрачность как уязвимость
Жертва подробно объясняет структуру финансирования: пожертвования, операционные расходы, отсутствие резервов. Для атакующих это не просто информация, а карта возможностей. Они видят, где можно надавить: «у вас есть киберстраховка», «вы можете найти донора».
Упоминание киберстраховки особенно показательно. Атакующие знают, что многие некоммерческие организации имеют покрытие на киберинциденты, и используют это как рычаг: «вы можете предотвратить утечку». Это не вопрос, а утверждение — жертва должна сама найти способ активировать страховку.
Траектория торга: от 50к до 100к через эмоциональную аргументацию
Ценовая динамика в этом кейсе необычна. Жертва начинает с 50 000 долларов, атакующие снижаются с 250к до 100к. Но ключевой момент не в цифрах, а в том, как меняются аргументы.
Сначала жертва апеллирует к человечности. Затем добавляет конкретику: «это в 200 раз больше, чем мы начали». Потом вводит внешний фактор: «я нашёл донора». Каждый шаг сопровождается эмоциональным усилением: «у меня нервный срыв», «мы закроемся», «тысячи женщин останутся без помощи».
Атакующие реагируют на каждый этап, но не на эмоции, а на прогресс в сборе средств. Когда жертва показывает, что может найти дополнительные деньги, они снижают цену. Это не сострадание, а подтверждение платёжеспособности.
Техническая деталь: файлы .vbm как маркер виртуализации
Жертва отправляет файлы с расширением .vbm.akira — это зашифрованные файлы виртуальных машин VMware. Атакующие успешно их расшифровывают и возвращают.
Это подтверждает, что группа умеет работать с виртуализированными средами на уровне файлов ВМ, а не только с гостевыми ОС. Для технических команд это сигнал: при атаках на инфраструктуру с VMware нужно проверять не только зашифрованные файлы внутри ВМ, но и целостность самих образов виртуальных машин.
Что зафиксировать в отчёте
Использование моральных и эмоциональных аргументов жертвой — маркер для классификации кейсов, где жертва пытается сместить фокус с финансов на этику.
Упоминание киберстраховки атакующими — индикатор, что группа отслеживает наличие страхового покрытия и использует это как рычаг давления.
Файлы с расширением .vbm.akira — технический индикатор атаки на виртуализированные среды, требующий отдельной проверки целостности образов ВМ.
Индикаторы для детекции
[√] Формулировки про «некоммерческая организация», «пожертвования», «операционные средства» — сигнатура для ранней классификации жертвы как НКО
[√] Упоминание киберстраховки в переписке с вымогателями — маркер, что атакующие знают о страховом покрытии и используют это в торге
[√] Файлы с расширением .vbm.akira — индикатор шифрования образов виртуальных машин VMware, требующий проверки целостности гипервизора
[√] Эмоциональные аргументы жертвы («нервный срыв», «тысячи женщин», «чувство человечности») — паттерн, характерный для переговоров, где жертва пытается сместить фокус с финансов на этику
Где проверить самостоятельно
Логи доступа к файлам виртуальных машин (.vbm, .vmdk) можно сверить с временем инцидента для выявления аномальной активности шифрования
Формулировки про киберстраховку и пожертвования в переписке стоит использовать для классификации кейсов при анализе тактик групп
Хеши расшифровщика decryptors.zip и параметры командной строки можно сверить с публичными базами индикаторов для корреляции с другими инцидентами