Государственный орган США выплатил 1 миллион долларов за вымогательство данных.
TL;DRA Государственное учреждение США заплатило около $1 млн группе вымогателей Kairos, чтобы сохранить украденные файлы в тайне, согласно исследованию Ransom-ISAC, основанному на утечке чата переговоров и анализе блокчейна. Улики указывают на округ Юнион, штат Огайо, хотя ни одна из сторон это не подтвердила. Дело иллюстрирует, насколько много в современном «вымогательстве» не связано с шифрованием вообще.
Государственное учреждение США заплатило около $1 млн, чтобы остановить публикацию украденных файлов, согласно исследованию, проведенному исследователем Ракешем Кришнаном для Ransom-ISAC. Анализ основан на утечке чата переговоров и следах блокчейна, оставленных платежом.
Группа, стоящая за сделкой, называет себя Kairos, но это может быть не традиционная группа-вымогатель. Кришнан, как сообщается, не нашел ни шифровальщика, ни локера, ни требования о ключе для расшифровки, только украденные файлы и цену за их сохранение в тайне.
Исследование не называет жертву, но имена файлов в образцах доказательства кражи, включая архив под названием union.rar, указывают на округ Юнион, штат Огайо. Ни округ, ни Kairos не подтвердили связь, и The Hacker News сообщает, что связался с округом для комментариев.
Улики действительно совпадают с реальным инцидентом. В мае 2025 года округ Юнион обнаружил вымогательское ПО в своей сети и позже уведомил 45,487 человек о том, что данные, включая номера социального страхования, отпечатки пальцев и данные паспортов, были украдены.
Если идентификация верна, округ с населением около 70,000 жителей сделал платеж в $1 млн, который никогда не был публично раскрыт. Нападающий, как сообщается, сильно давил на папку с пометкой «офис прокуроров», предупреждая, что утечка поможет преступникам избежать обвинений.
Анатомия сделки на $1 млн
Переговоры длились около месяца, согласно исследованию. Kairos начал с $3 млн и утверждал, что у него есть более 2 ТБ данных в около 1.6 миллиона файлов.
Округ, как сообщается, предложил $100,000 и постепенно увеличил сумму до $430,000, в то время как Kairos снизил сумму до $2 млн, прежде чем установить окончательный срок в $1 млн. Жертва заплатила 13 июня 2025 года, в десять раз больше своего первоначального предложения.
Платеж в размере около 9.44 биткойна соответствовал примерно $1 млн по рыночным ценам той недели. В течение нескольких часов, как сообщается, он был разделен и направлен через цепочку кошельков к депозитам на Bybit, OKX и BELQI, российском сервисе, который напоминает о предыдущем отмывании вымогательских средств через WEX и BTC-e.
Отслеживание такого рода дает следователям зацепки, а не личности. Преступные группы потратили годы на совершенствование методов отмывания криптовалюты через мулы, миксеры и слабо регулируемые биржи.
Что купил этот деньги — другой вопрос. Kairos передал файл «доказательство удаления», но список имен файлов лишь доказывает, что нападающий когда-то владел данными, а обещания удалить украденные данные уже распадались ранее.
Вымогательство без вымогательства
Округ Юнион описал инцидент как вымогательство, однако ничего в деле Kairos никогда не было зашифровано. Растущая доля того, что все еще носит этот ярлык, теперь полностью избегает локеров и использует сами украденные данные в качестве точки давления, что является стратегией, на которую нацелились недавние инциденты только с вымогательством в частном секторе.
Sophos сообщила в 2025 году, что только около половины атак программ-вымогателей включали шифрование, что на 20% меньше по сравнению с предыдущим годом и является самым низким показателем за шесть лет. Silent Ransom Group, ответвление экосистемы Conti, потратила годы на проведение вымогательства без шифрования против юридических фирм США, получая повторные предупреждения от ФБР.
Арка переговоров тоже знакома. Когда внутренние чаты Black Basta утекли в феврале 2025 года, одна сделка перешла от требования в $1.5 млн к контрпредложению в $100,000 и платежу в $1 млн, почти по той же кривой.
Сам Kairos замолчал, его сайт утечек отключен, а последняя известная жертва была опубликована в июне 2026 года, согласно исследованию. Связанный кошелек, как сообщается, все еще перемещал средства в мае, так что темный сайт утечек не следует воспринимать как завершившую свою деятельность группу.
Непривлекательные уроки
Для небольших государственных сетей выводы намеренно скучны. Kairos утверждал, что он вошел, угадав пароль, поэтому многофакторная аутентификация и уведомления о повторных неудачных входах значительно увеличили бы стоимость входа.
Защитникам также следует следить за исходящими переводами и временными ссылками для обмена файлами, такими как адреса temp.sh, которые использовал нападающий, и держать юридические и гражданские записи сегментированными от более широкой сети. Прежде всего, квитанция вора за удаленные данные стоит ровно столько, сколько стоило ее напечатать.
Другие статьи
Государственный орган США выплатил 1 миллион долларов за вымогательство данных.
Утечка чата и следы биткойнов показывают, что государственный орган США заплатил Kairos 1 миллион долларов за подавление украденных файлов, без использования шифрования, с подсказками, указывающими на Огайо.
