El organismo gubernamental de EE. UU. pagó $1M en extorsión por robo de datos.

El organismo gubernamental de EE. UU. pagó $1M en extorsión por robo de datos.

      TL;DRA Una entidad del gobierno de EE. UU. pagó alrededor de $1 millón al grupo de extorsión Kairos para mantener privados los archivos robados, según un estudio de caso de Ransom-ISAC basado en un chat de negociación filtrado y un análisis de blockchain. Las pistas apuntan al Condado de Union, Ohio, aunque ninguna de las partes lo ha confirmado. El caso ilustra cuánto de lo que hoy se llama "ransomware" no implica en absoluto cifrado.

      Una entidad del gobierno de EE. UU. pagó alrededor de $1 millón para detener la publicación de archivos robados, según un estudio de caso del investigador Rakesh Krishnan para Ransom-ISAC. El análisis se basa en un chat de negociación filtrado y la pista de blockchain que dejó el pago.

      El grupo detrás del acuerdo se llama Kairos, pero puede que no sea una pandilla de ransomware en ningún sentido tradicional. Krishnan supuestamente no encontró cifrador, ni bloqueador, ni demanda de una clave de descifrado, solo archivos robados y un precio para mantenerlos privados.

      El estudio de caso no nombra a la víctima, pero los nombres de archivo en las muestras de prueba de robo, incluido un archivo llamado union.rar, apuntan al Condado de Union, Ohio. Ni el condado ni Kairos han confirmado la conexión, y The Hacker News dice que ha contactado al condado para obtener comentarios.

      Las pistas coinciden con un incidente real. En mayo de 2025, el Condado de Union detectó ransomware en su red y luego notificó a 45,487 personas que datos, incluidos números de Seguro Social, huellas dactilares y detalles de pasaporte, habían sido robados.

      Si la identificación es correcta, un condado de aproximadamente 70,000 residentes hizo un pago de $1 millón que nunca divulgó públicamente. El atacante supuestamente presionó más sobre una carpeta marcada como "oficina de fiscales", advirtiendo que una filtración ayudaría a los criminales a evadir cargos.

      Anatomía de un acuerdo de $1 millón

      La negociación duró aproximadamente un mes, según el estudio de caso. Kairos comenzó en $3 millones y afirmó tener más de 2TB de datos en unos 1.6 millones de archivos.

      El condado supuestamente contraofertó en $100,000 y subió lentamente a $430,000, mientras que Kairos bajó a $2 millones antes de fijar un plazo final de $1 millón. La víctima pagó el 13 de junio de 2025, diez veces su oferta inicial.

      El pago de aproximadamente 9.44 bitcoin coincidió con alrededor de $1 millón a los precios del mercado de esa semana. En pocas horas, supuestamente se dividió y se enrutó a través de una cadena de billeteras hacia depósitos en Bybit, OKX y BELQI, un servicio ruso que recuerda el lavado de ransomware anterior a través de WEX y BTC-e.

      El rastreo de este tipo proporciona a los investigadores pistas en lugar de identidades. Las bandas criminales han pasado años refinando cómo lavan criptomonedas a través de mulas, mezcladores e intercambios poco regulados.

      Lo que compró el dinero es otra pregunta. Kairos entregó un archivo de "prueba de eliminación", pero una lista de nombres de archivos solo prueba que el atacante una vez tuvo los datos, y las promesas de eliminar datos robados se han deshecho antes.

      Ransomware sin el ransomware

      El Condado de Union describió el incidente como ransomware, sin embargo, nada en el caso de Kairos fue alguna vez cifrado. Una parte creciente de lo que aún lleva esa etiqueta ahora omite completamente los bloqueadores y utiliza los datos robados como punto de presión, un manual que las recientes violaciones solo de extorsión también han dirigido al sector privado.

      Sophos informó en 2025 que solo alrededor de la mitad de los ataques de ransomware involucraban cifrado, bajando del 70% un año antes y la tasa más baja en seis años. Silent Ransom Group, un desprendimiento del ecosistema Conti, ha pasado años ejecutando extorsiones sin cifrado contra firmas legales de EE. UU., recibiendo repetidas advertencias del FBI.

      El arco de negociación también es familiar. Cuando los chats internos de Black Basta se filtraron en febrero de 2025, un acuerdo pasó de una demanda de $1.5 millones a una contraoferta de $100,000 y un pago de $1 millón, casi la misma curva.

      Kairos en sí mismo ha permanecido en silencio, con su sitio de filtraciones fuera de línea y su última víctima conocida publicada en junio de 2026, según el estudio de caso. Se informó que una billetera vinculada aún movía fondos en mayo, por lo que un sitio de filtraciones oscuro no debería interpretarse como una tripulación retirada.

      Lecciones poco glamorosas

      Para las pequeñas redes gubernamentales, las conclusiones son deliberadamente aburridas. Kairos afirmó que entró adivinando una contraseña, por lo que la autenticación multifactor y las alertas sobre intentos de inicio de sesión fallidos repetidos habrían aumentado considerablemente el costo de entrada.

      Los defensores también deben vigilar las transferencias salientes y los enlaces de intercambio de archivos desechables, como las direcciones temp.sh que usó el atacante, y mantener los registros legales y ciudadanos segmentados de la red más amplia. Sobre todo, el recibo de un ladrón por datos eliminados vale exactamente lo que costó escribirlo.

Otros artículos

Ahora puedes comprar un refrigerador frunk para tu Model Y directamente de Tesla. Ahora puedes comprar un refrigerador frunk para tu Model Y directamente de Tesla. Tesla ha actualizado su tienda con una nueva Colección de Verano, que incluye un Refrigerador de Doble Zona de $595 diseñado para encajar en el frunk del Model Y. Starling Bank recorta 130 empleos en un impulso de IA y reestructuración Starling Bank recorta 130 empleos en un impulso de IA y reestructuración El neobanco londinense Starling está reduciendo el 3% de su fuerza laboral a medida que las ganancias disminuyen por segundo año. Al mismo tiempo, está contratando ingenieros de IA y expandiendo su plataforma Engine SaaS en los EE. UU. La CG Semi de India comienza la producción de chips en Gujarat La CG Semi de India comienza la producción de chips en Gujarat Modi inaugura la planta OSAT de CG Semi en Sanand de $870 millones, empaquetando 200 millones de chips al año en su lanzamiento mientras la misión de semiconductores de India gana impulso. Hong Kong maneja más de la mitad de las importaciones de chips de China. Hong Kong maneja más de la mitad de las importaciones de chips de China. Hong Kong reexportó $124 mil millones en chips a China en cinco meses, el 52% del total del continente, ya que el auge de la IA convierte a la ciudad en el principal centro de semiconductores de Asia. Hong Kong maneja más de la mitad de las importaciones de chips de China. Hong Kong maneja más de la mitad de las importaciones de chips de China. Hong Kong reexportó $124 mil millones en chips a China en cinco meses, el 52% del total del continente, ya que el auge de la IA convierte a la ciudad en el centro clave de semiconductores de Asia. La línea Galaxy Z Fold 8 de Samsung podría costar cientos más este año. La línea Galaxy Z Fold 8 de Samsung podría costar cientos más este año. Una nueva filtración sugiere que la serie Galaxy Z Fold 8, Fold 8 Ultra, Flip 8 y Galaxy Watch 9 de Samsung podría lanzarse con precios notablemente más altos en toda Europa.

El organismo gubernamental de EE. UU. pagó $1M en extorsión por robo de datos.

Un chat filtrado y un rastro de bitcoin muestran que una entidad del gobierno de EE. UU. pagó a Kairos $1 millón para suprimir archivos robados, sin involucrar cifrado, con pistas que apuntan a Ohio.