Инциденты

Округ США заплатил $1 млн за «удаление» украденных данных. Доказательств удаления не было

Маша Даровская
By Маша Даровская , IT-редактор и автор
Округ США заплатил $1 млн за «удаление» украденных данных. Доказательств удаления не было
Обложка © Anonhaven

Американская государственная структура заплатила вымогателям около $1 млн после кражи данных. При этом исследователи не нашли признаков, что злоумышленники вообще шифровали системы. Давление строилось не на блокировке серверов, а на угрозе публикации украденных файлов. Ransom-ISAC описывает инцидент как вымогательство через кражу данных без подтверждённого шифровальщика.

Атакующие под брендом Kairos заявили, что вывели больше 2 ТБ данных — примерно 1,6 млн файлов. Первое требование составило $3 млн. Пострадавшая сторона начала переговоры со $100 тыс., затем подняла предложение до $255 тыс. и $430 тыс. После почти месяца давления Kairos поставила финальный срок и снизила требование до $1 млн. Платёж ушёл 13 июня 2025 года.

Ransom-ISAC не называет жертву. The Hacker News пишет, что детали переговоров указывают на округ Юнион в штате Огайо: в файлах-приманках и названиях архивов фигурировали следы Union, а пострадавшая сторона называла себя небольшим округом с ограниченными ресурсами. Сам округ публично подтверждал киберинцидент в мае 2025 года, но ни администрация, ни Kairos не подтвердили связь именно с этим платежом.

В официальном уведомлении округа Юнион указано, что 18 мая 2025 года власти обнаружили ransomware в своей сети, привлекли внешних экспертов и уведомили федеральные правоохранительные органы. Расследование показало, что злоумышленники имели доступ к сети с 6 по 18 мая и забрали часть данных округа. В числе затронутой информации названы имена, номера социального страхования, номера водительских удостоверений, финансовые данные, даты рождения, отпечатки пальцев, медицинские сведения, платёжные карты и паспортные номера.

Затронуты оказались 45 487 человек, писали профильные издания со ссылкой на уведомление округа. Для округа с населением около 70 тыс. это масштаб почти на уровне всего местного сообщества. В наборе были данные, которые трудно или невозможно заменить: отпечатки пальцев, медицинская информация, паспортные номера, финансовые сведения.

Kairos в переписке давила на чувствительность отдельных папок. В переговорах упоминалась папка прокуратуры. Вымогатели утверждали, что публикация таких материалов может помочь преступникам уйти от ответственности и вызвать общественный резонанс. Это классический приём вымогательства через репутационный и юридический риск: атакующий продаёт не дешифратор, а обещание не выкладывать чувствительные данные.

Техническая часть входа остаётся непроверенной. После выплаты Kairos заявила, что получила доступ через перебор пароля. Ransom-ISAC отдельно подчёркивает: это утверждение атакующих, его нельзя считать независимым доказательством.

Платёж прошёл в биткоине. В отчёте Ransom-ISAC указано, что Kairos получил около $1 млн на кошелёк, после чего сумма быстро разделилась на два основных потока. Один пошёл к депозитному адресу Bybit, другой дробился через промежуточные кошельки и касался адресов, связанных с OKX и BELQI. 

После оплаты Kairos отправила файл, который должен был подтвердить уничтожение данных. Ransom-ISAC пишет, что в нём не было криптографической проверки, хешей, отметок времени, журналов выполнения или механизма независимой проверки. Такой список показывает максимум то, что у атакующего когда-то были файлы. Он не доказывает, что оригиналы удалены, копии уничтожены, а данные не были переданы третьим лицам.

The Hacker News отмечает, что Kairos может вообще не быть ransomware-группой в строгом смысле. По доступным материалам нет ни образца шифровальщика, ни блокировщика, ни требования ключа дешифрования. Есть бренд, переговорный портал, списки файлов, давление сроками и кошелёк для оплаты.

Официальное уведомление округа говорит, что после инцидента были развёрнуты дополнительные инструменты безопасности, усилен мониторинг с помощью средств обнаружения на конечных устройствах, проведён общий сброс паролей и ужесточены ограничения внешнего доступа. Округ также заявил, что на момент уведомления не нашёл признаков публикации или продажи персональной информации.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.