Искусственный дедлайн в пятницу, угроза публикации при задержке. Жертва соглашается на $500 000 после отказа в $135 000, но получает только шаблонный отчёт без деталей компрометации.
Перевод диалога
Victim
Здравствуйте, мы из [redacted], пишем, чтобы понять, как мы можем вернуть наши данные.
Victim
Здравствуйте, мы из [redacted], пишем вам, как вы просили. Как нам вернуть наши данные?
Akira
Здравствуйте. Вы попали в чат поддержки Akira. Сейчас мы готовим список данных, которые извлекли из вашей сети. Пока вам нужно знать: работа с нами — самый быстрый и дешёвый способ решить вопрос. Оставайтесь на связи и наберитесь терпения. Мы скоро свяжемся с вами.
У вас есть полномочия вести переговоры от имени вашей организации?
Victim
Привет, хорошо, мы ждём вашего ответа. Понимание того, какие данные взяты, важно для нас. Да, я переговорщик от нашей фирмы и буду здесь от имени руководства. Спасибо.
Akira
Отлично. Пожалуйста, подождите список данных, которые мы взяли. Нам нужно немного времени, чтобы это разобрать.
Akira
list.rar // 4.76 MB
Akira
Эти файлы были извлечены из вашей сети до шифрования. Вы можете выбрать 2-3 случайных файла из списка, и мы загрузим их в этот чат как доказательство владения. Чтобы доказать, что мы можем корректно расшифровать ваши данные, вы можете загрузить 2-3 зашифрованных файла в наш чат, и мы вернём расшифрованные копии.
Мы изучаем ваши финансовые документы, чтобы сформулировать разумное требование к вам. Мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену.
Victim
Хорошо, спасибо. Мы изучим список и предоставим названия нескольких файлов.
Victim
Нас интересует весь пакет. Какую цену вы хотите?
Akira
Скоро сообщу. Мы анализируем ваши финансовые документы, чтобы определить справедливую сумму.
Akira
Итак, мы изучили ваши файлы, чтобы оценить ваши финансовые возможности. Мы просмотрели банковские выписки, чистую прибыль, лимиты киберстрахования, финансовые аудиты — всю информацию, которая могла бы помочь нам рассчитать наше требование к вам. Мы готовы установить цену в $3 500 000 за ВСЕ услуги, которые мы предлагаем:
1) полная помощь в расшифровке;
2) подтверждение удаления данных;
3) отчёт по уязвимостям, которые мы обнаружили;
4) гарантии не публиковать и не продавать ваши данные;
5) гарантии не атаковать вас в будущем.
Сообщите, интересует ли вас весь пакет или отдельные части. Это повлияет на итоговую цену. На данный момент мы настоятельно рекомендуем обратиться к вашему киберстрахованию, чтобы быстро покрыть нашу сумму и минимизировать все предстоящие риски.
Victim
Здравствуйте, спасибо. Я отправляю всё вышеперечисленное руководству.
Victim
Можем ли мы получить эти 3 файла обратно?
Victim
2023-01-30 12:21 188495 188495 Shared Data[redacted].pdf
2023-01-30 12:21 191586 191586 Shared Data[redacted].pdf
2022-12-12 18:41 20922 20922 Acct HR Contracts[redacted].docx
Akira
Здравствуйте. Мы предоставим файлы в ближайшее время.
Akira
[redacted].docx // 20.8 KB
Akira
[redacted].pdf // 187 KB
Akira
[redacted].pdf // 190 KB
Akira
Вот файлы. Вы можете поделиться некоторыми файлами для тестовой расшифровки.
Victim
Спасибо за всё. Мы изучаем списки. Это все данные, которые вы взяли? Сколько всего? Мы также работаем над получением файлов для тестовой расшифровки и должны предоставить их в понедельник.
Akira
Мы взяли всё, что вы видите в списке. 560 ГБ всего. Мы ждём файлы в понедельник.
Victim
Хорошо, я отправлю это руководству, спасибо.
Akira
На связи. Чем быстрее вы действуете, тем лояльнее моё руководство.
Victim
Мы ищем файлы, сложно найти маленькие. Должен предоставить их вам завтра.
Akira
Вам нужно действовать немного оперативнее. Мы ждём файлы.
Victim
[redacted].iso.akira // 7.63 MB
Victim
Можете ли вы расшифровать это? Мы можем попробовать найти ещё маленькие, если нужно.
Akira
пожалуйста, подождите
Akira
[redacted].iso // 7.63 MB
Akira
Вот файл. Давайте перейдём к деталям оплаты. Вам нужны все пять опций, которые мы предлагаем?
Victim
На данный момент нам может не понадобиться ключ для возврата файлов. Какая будет сумма, если мы не хотим публикации наших данных?
Akira
Опции 2-5 будут стоить $1 350 000.
Victim
Я передам это руководству. Свяжусь снова.
Akira
Ускорьтесь, пожалуйста. Мы не можем это тянуть дальше.
Victim
Мы будем смотреть, какие средства сможем собрать в ближайшие дни, также выходные, поэтому наш банк закрыт. Это крупная сумма, можете ли вы сделать скидку, если мы сможем быстро собрать средства в начале следующей недели? Также, пока мы продолжаем разговор, пожалуйста, не утекайте наше имя или данные, мы хотим разрешить это. Спасибо.
Akira
Моё руководство часто даёт скидку клиентам, которые работают оперативно. Если вы предложите в понедельник, это будет достаточно хорошо, мы пойдём навстречу, думаю.
Victim
Я сообщу руководству, свяжусь в понедельник
Akira
Жду.
Akira
Здравствуйте. Что вы решили?
Victim
Мы собираемся сегодня, чтобы посмотреть, что сможем быстро собрать. Свяжусь после наших встреч.
Akira
Поторопитесь, пожалуйста.
Akira
Хорошо, похоже, нам придётся опубликовать ваши данные.
Victim
Здравствуйте, извините за задержку, мы стараемся изо всех сил и пытаемся продолжить операции. После анализа данных и нашей ситуации, мы можем быстро предоставить $135 000 USD за 24 часа. Примете ли вы, чтобы мы закрыли это? Спасибо.
Akira
Просто смешно! Оставьте свои 10%. Ваши данные будут опубликованы на этой неделе.
Victim
мы предлагаем реальные деньги и говорим добросовестно, если наши данные/компания будут опубликованы, мы не сможем. Я сообщил руководству ваше последнее сообщение, они снова собираются, мы свяжемся. Пожалуйста, на связи
Akira
Мы ждём реальные деньги, реальное справедливое предложение. Сейчас вы говорите ничего, никакой ценности для нас ВООБЩЕ.
Victim
Для нашей ситуации, какие данные в игре, мы готовы прийти к соглашению за $250 000.00 USD. Больше этого потребует много согласований. Пожалуйста, давайте придём к соглашению. Спасибо.
Akira
Я передам это моей команде.
Victim
Хорошо, пожалуйста, сообщите нам.
Akira
Что ж, руководство крайне возмущено ходом этих переговоров. Я уполномочен вести переговоры до пятницы. Итак, мы согласны принять $500 000, если оплата будет произведена до пятницы. Любые другие суммы будут отклонены, и ваши данные будут опубликованы в начале следующей недели. У вас есть немного времени, чтобы принять решение, потому что с нашей стороны оно уже принято и не подлежит пересмотру. Жду вашего ответа.
Victim
Здравствуйте, мы поговорили с руководством, они примут ваше предложение. Мы должны работать над оплатой и надеемся, что она поступит до пятницы, имейте в виду, это ново для нас и получение BTC. Куда нам отправлять деньги?
Akira
Я предоставлю вам ID кошелька BTC через несколько минут.
Akira
Вот он, пожалуйста: [redacted]
Пожалуйста, имейте в виду, что пятница — ваш дедлайн. Ускорьтесь с вашей стороны, и мы покончим с этим.
Victim
Мы работаем над этим. Мы достигли сделки с вами и добросовестно работаю над оплатой. Спасибо.
Akira
На связи, спасибо.
Victim
Здравствуйте, я сообщу вам статус завтра утром, всё в процессе.
Akira
Здравствуйте. Спасибо.
Victim
Платёж должен был поступить. Пожалуйста, проверьте и сообщите, когда мы получим наши материалы. Спасибо
Akira
Мы получили платеж, спасибо. Пожалуйста, подождите все обещанные материалы в течение 24 часов.
Victim
Здравствуйте, когда мы можем ожидать нашу часть соглашения? Спасибо.
Akira
Мы предоставим через час.
Victim
Хорошо, мы ждём
Akira
Deletion log file.rar // 8.24 MB
Akira
Вот файл. Пожалуйста, проверьте.
Victim
Хорошо, спасибо. Как насчёт отчёта по безопасности о том, как вы попали?
Akira
Первоначальный доступ к вашей сети был куплен в даркнете. Затем был проведён керберостинг, и мы получили хэши паролей. Затем мы просто подобрали их и получили пароль доменного администратора. Проведя недели внутри вашей сети, нам удалось обнаружить некоторые ошибки, которые мы настоятельно рекомендуем устранить:
- Никто из ваших сотрудников не должен открывать подозрительные письма, переходить по подозрительным ссылкам или скачивать файлы, тем более запускать их на своём компьютере.
- Используйте надёжные пароли, меняйте их как можно чаще (минимум 1-2 раза в месяц). Пароли не должны совпадать или повторяться на разных ресурсах.
- Включите 2FA везде, где это возможно.
- Используйте последние версии операционных систем, так как они менее уязвимы для атак.
- Обновляйте все версии программного обеспечения.
- Используйте антивирусные решения и инструменты мониторинга трафика.
- Создайте jump host для вашего VPN. Используйте на нём уникальные учётные данные, отличающиеся от доменных.
- Используйте программное обеспечение для резервного копирования с облачным хранилищем, которое поддерживает токен-ключ.
- Как можно чаще инструктируйте сотрудников о мерах онлайн-безопасности. Самая уязвимая точка — человеческий фактор и безответственность ваших сотрудников, системных администраторов и т.д.
Желаем вам безопасности, спокойствия и много преимуществ в будущем. Спасибо за работу с нами и внимательное отношение к вашей безопасности.
Victim
Хорошо, спасибо. Знаете ли вы учётные данные, которые использовали? Кто имя, какой тип системы?
Akira
Я попробую узнать это у моей технической команды.
Victim
Есть ли новости о том, какие учётные данные были использованы из даркнета?
Akira
К сожалению, у нас нет этой информации, так как ваш случай был закрыт.
Почему жертва запросила только защиту от публикации без расшифровки
Жертва после успешной тестовой расшифровки .iso-файла спрашивает цену только за опции 2-5 (удаление данных, отчёт, гарантии), исключая расшифровку. Это указывает на наличие рабочих резервных копий или альтернативного пути восстановления инфраструктуры.
Такой запрос меняет динамику переговоров: хакеры теряют рычаг операционного давления, остаётся только репутационный. Цена за опции 2-5 составляет $1 350 000 — всё ещё значительная сумма, но ниже полного пакета в $3 500 000.
Проверьте прямо сейчас, есть ли у вашей организации изолированные, неизменяемые резервные копии критических систем. Если восстановление возможно без ключей злоумышленников, фокус переговоров смещается на минимизацию репутационного ущерба.
Как работает психологическое давление через отклонение «несерьёзных» предложений
Хакеры реагируют на предложение $135 000 фразой «Просто смешно! Оставьте свои 10%». Это не просто отказ, это обесценивание предложения через сравнение с «реальной ценностью».
Такая тактика создаёт когнитивный диссонанс: жертва, предлагавшая сумму добросовестно, сталкивается с резким отвержением. Это подталкивает к повышению ставки, чтобы доказать «серьёзность» намерений.
Исследования переговоров показывают: резкое отклонение низких предложений увеличивает вероятность повышения ставки на 34% в случаях с малым и средним бизнесом [[31]].
Почему дедлайн в пятницу создаёт дополнительное давление
Фраза «Я уполномочен вести переговоры до пятницы» вводит искусственное ограничение по времени. Пятница — конец рабочей недели, когда финансовые отделы закрывают операции, а руководители уходят на выходные.
Для жертвы это означает: если не успеть до пятницы, переговоры начнутся заново с новой командой или цена вернётся к предыдущему уровню. Это стимулирует принятие решения в условиях неопределённости.
Проверьте, есть ли у вашей команды процедура экстренного согласования криптоплатежей в нерабочее время. Если перевод требует подписи нескольких руководителей, дедлайн в пятницу может стать непреодолимым барьером.
Что скрывается за фразой «ваш случай был закрыт» при запросе деталей компрометации
Жертва запрашивает конкретные учётные данные, использованные для первоначального доступа. Хакеры отвечают: «У нас нет этой информации, так как ваш случай был закрыт».
Это стандартный ответ для минимизации пост-сделочных обязательств. Детали вектора атаки могут раскрыть источники доступа, которые хакеры хотят сохранить для будущих операций или продажи другим группам.
Для расследования инцидента отсутствие конкретной информации о скомпрометированных учётных данных создаёт слепую зону. Без знания точного вектора невозможно гарантировать устранение всех точек входа.
[√] Запросите у хакеров хэш-суммы изъятых файлов для сверки с вашими логами — это может выявить время и источник эксфильтрации
[√] Проверьте логи аутентификации VPN и доменных контроллеров на предмет аномальных входов в период, предшествующий инциденту
[ ] Запросите у провайдера киберстрахования доступ к сторонним расследованиям — иногда они имеют дополнительную телеметрию
[ ] Сверьте расширения зашифрованных файлов с известными индикаторами Akira (.akira, .powerranges, .akiranew) для подтверждения атрибуции
Как объём изъятых данных в 560 ГБ влияет на оценку рисков публикации
Хакеры указывают: «Мы взяли всё, что вы видите в списке. 560 ГБ всего». Это значительный объём, который может включать финансовые отчёты, персональные данные клиентов, внутренние коммуникации.
Публикация такого массива данных создаёт не только репутационный, но и регуляторный риск: утечка персональных данных может повлечь штрафы по GDPR, 152-ФЗ или отраслевым стандартам.
Проверьте прямо сейчас, классифицированы ли ваши данные по степени чувствительности. Если в изъятых 560 ГБ есть информация, подпадающая под регуляторные требования, приоритет смещается с восстановления операций на минимизацию юридических последствий.
Почему шаблонный отчёт по безопасности не помогает устранить реальные уязвимости
Хакеры предоставляют список из 9 общих рекомендаций: не открывать подозрительные письма, использовать сильные пароли, включить 2FA и так далее. Ни одной конкретной детали о векторе атаки, скомпрометированных системах или использованных эксплойтах.
Такой отчёт не позволяет устранить корневую причину инцидента. Если доступ был куплен в даркнете, а эскалация проведена через Kerberoasting, общие советы не закрывают конкретные бреши в конфигурации Active Directory или политике паролей.
Для реального укрепления защиты требуется:
[√] Аудит логов Kerberos на предмет аномальных запросов сервисных билетов (TGS-REQ)
[√] Проверка настроек SPN (Service Principal Name) на предмет избыточных привилегий
[√] Внедрение мониторинга аномальной активности в домене через SIEM-правила, специфичные для техник MITRE ATT&CK T1558.003 (Kerberoasting)
[ ] Проведение упражнения по поиску угроз (threat hunting) с фокусом на техники, использованные в данном инциденте
Как покупка доступа в даркнете усложняет расследование первоначального вектора
Хакеры прямо указывают: «Первоначальный доступ к вашей сети был куплен в даркнете». Это означает, что они не проводили разведку и проникновение самостоятельно, а приобрели уже скомпрометированный доступ у брокера.
Такая модель создаёт цепочку посредников: жертва не знает, кто изначально скомпрометировал учётные данные, а хакеры не раскрывают источник, чтобы не подставить брокера.
Для расследования это означает: даже при полном сотрудничестве с хакерами после оплаты, информация о первоначальном векторе может остаться недоступной. Фокус смещается на обнаружение и устранение последствий, а не на атрибуцию источника.