美国政府实体在数据窃取勒索案中向 Kairos 支付 100 万美元
- 浏览次数 93
- 喜欢 0
根据 Rakesh Krishnan 为 Ransom-ISAC 撰写的一份新案例研究(基于泄露的谈判聊天记录和付款留下的区块链踪迹),一个美国政府实体支付了约 100 万美元以防止被盗文件被泄露。
奇怪的是:收钱的团伙自称 Kairos,但它可能根本不是一个勒索软件团伙。Krishnan 没有发现任何迹象表明它曾锁定过任何一台机器:没有加密器,没有锁机程序,也没有索要解密密钥。威胁更简单:窃取文件,然后向受害者收费以不公开这些文件。
Krishnan 没有透露受害者姓名,但聊天记录指向俄亥俄州联合县。窃取证明文件的名称为 Union.xlsx、1 union co psi template.doc 以及一个名为 union.rar 的最终归档文件。受害者自称是一个资源有限的小县。攻击者特别强调了一个标记为"检察官办公室"的文件夹,警告称泄露该文件夹将帮助罪犯逃避指控。
这些线索与一个真实案例吻合。2025年5月,俄亥俄州联合县表示在其网络上检测到勒索软件,随后通知 45,487 名居民和员工他们的数据已被窃取,影响了该县约 7 万人口中的大部分。被盗记录包括社会安全号码、财务信息、指纹和护照号码。
该县和 Kairos 均未确认这一关联。但如果成立,这意味着一个县政府支付了约 100 万美元,且从未公开披露过。The Hacker News 已联系联合县专员办公室寻求置评。本文将根据任何回复进行更新。
谈判持续了大约一个月。Kairos 开价 300 万美元,声称持有超过 2 TB 的数据,约 160 万个文件。该县从 10 万美元开始还价,逐步提高到 25.5 万美元,然后是 43 万美元。Kairos 降至 200 万美元,然后设定了一个硬性最终数字:100 万美元,周五前付款,否则文件将被公开。
链上付款:约 9.44 BTC 进入与 Kairos 关联的钱包。
它使用了通常的手段:倒计时器、紧迫的截止日期,以及威胁首先泄露最敏感的文件夹。该县于 2025年6月13日付款,是其首次出价的十倍。
付款金额约为 9.44 比特币,当时价值约 100 万美元。Krishnan 从那里追踪了资金流向。数小时内,资金被一分为二,通过一系列钱包转移到与加密货币交易所 Bybit、OKX 以及一个名为 BELQI 的俄罗斯服务相关的存款地址。
这种追踪方式为调查人员提供了线索,而非姓名。而这笔钱并没有买到任何实质性的东西。Kairos 发送了一个"删除证明"文件,但一个文件名列表仅显示攻击者曾经拥有这些文件,并不能证明原始文件已被清除。花钱让被盗数据消失是一种信仰行为,而收据是由小偷开具的。
联合县将发生在自己身上的事称为勒索软件,这是每个人都会想到的词,但在 Kairos 的案例中,没有任何东西被锁定。这才是真正的转变:许多仍被称为勒索软件的攻击现在跳过了加密,直接使用被盗数据本身作为施压点。
Sophos 在 2025 年报告称,只有约一半的勒索软件攻击仍涉及加密,这是六年来的最低水平。一些团伙已经完全放弃了加密。Conti 的分支 Silent Ransom Group 多年来一直在对美国法律和金融公司进行纯数据窃取勒索,完全不使用加密器。
Kairos 的聊天记录也符合一种熟悉的谈判模式。当 Black Basta 的内部聊天记录于 2025年2月泄露时,对这些信息的分析发现了一笔交易,从 150 万美元的要价到 10 万美元的还价,再到 100 万美元的付款,几乎相同的轨迹。这些聊天记录,以及之前 2022 年的 Conti 泄露事件,是研究人员如今重建这些交易实际达成方式的基础。
Kairos 本身已经沉寂。其泄露网站已关闭,最后一个已知受害者出现在 2026年6月。但与该行动关联的一个钱包直到 2026年5月仍在转移资金,这提醒我们,一个黑暗的泄露网站并不等同于一个已消亡的团伙。
对于任何运行小型政府网络的人来说,这些教训枯燥且熟悉,而这恰恰是关键所在。启用多因素认证,因为 Kairos 声称其入侵方式仅仅是猜中了密码。
关注重复的登录失败、大量出站数据传输以及临时文件共享链接(如 Kairos 用于移动文件的 temp.sh 地址)。将法律、人力资源和公民记录与网络的其他部分隔离。在需要之前准备好公开声明计划。并将任何删除被盗数据的承诺视为一文不值。