Американская государственная структура заплатила вымогателям около $1 млн после кражи данных. При этом исследователи не нашли признаков, что злоумышленники вообще шифровали системы. Давление строилось не на блокировке серверов, а на угрозе публикации украденных файлов. Ransom-ISAC описывает инцидент как вымогательство через кражу данных без подтверждённого шифровальщика.
Атакующие под брендом Kairos заявили, что вывели больше 2 ТБ данных — примерно 1,6 млн файлов. Первое требование составило $3 млн. Пострадавшая сторона начала переговоры со $100 тыс., затем подняла предложение до $255 тыс. и $430 тыс. После почти месяца давления Kairos поставила финальный срок и снизила требование до $1 млн. Платёж ушёл 13 июня 2025 года.
Ransom-ISAC не называет жертву. The Hacker News пишет, что детали переговоров указывают на округ Юнион в штате Огайо: в файлах-приманках и названиях архивов фигурировали следы Union, а пострадавшая сторона называла себя небольшим округом с ограниченными ресурсами. Сам округ публично подтверждал киберинцидент в мае 2025 года, но ни администрация, ни Kairos не подтвердили связь именно с этим платежом.
В официальном уведомлении округа Юнион указано, что 18 мая 2025 года власти обнаружили ransomware в своей сети, привлекли внешних экспертов и уведомили федеральные правоохранительные органы. Расследование показало, что злоумышленники имели доступ к сети с 6 по 18 мая и забрали часть данных округа. В числе затронутой информации названы имена, номера социального страхования, номера водительских удостоверений, финансовые данные, даты рождения, отпечатки пальцев, медицинские сведения, платёжные карты и паспортные номера.
Затронуты оказались 45 487 человек, писали профильные издания со ссылкой на уведомление округа. Для округа с населением около 70 тыс. это масштаб почти на уровне всего местного сообщества. В наборе были данные, которые трудно или невозможно заменить: отпечатки пальцев, медицинская информация, паспортные номера, финансовые сведения.
Kairos в переписке давила на чувствительность отдельных папок. В переговорах упоминалась папка прокуратуры. Вымогатели утверждали, что публикация таких материалов может помочь преступникам уйти от ответственности и вызвать общественный резонанс. Это классический приём вымогательства через репутационный и юридический риск: атакующий продаёт не дешифратор, а обещание не выкладывать чувствительные данные.
Техническая часть входа остаётся непроверенной. После выплаты Kairos заявила, что получила доступ через перебор пароля. Ransom-ISAC отдельно подчёркивает: это утверждение атакующих, его нельзя считать независимым доказательством.
Платёж прошёл в биткоине. В отчёте Ransom-ISAC указано, что Kairos получил около $1 млн на кошелёк, после чего сумма быстро разделилась на два основных потока. Один пошёл к депозитному адресу Bybit, другой дробился через промежуточные кошельки и касался адресов, связанных с OKX и BELQI.
После оплаты Kairos отправила файл, который должен был подтвердить уничтожение данных. Ransom-ISAC пишет, что в нём не было криптографической проверки, хешей, отметок времени, журналов выполнения или механизма независимой проверки. Такой список показывает максимум то, что у атакующего когда-то были файлы. Он не доказывает, что оригиналы удалены, копии уничтожены, а данные не были переданы третьим лицам.
The Hacker News отмечает, что Kairos может вообще не быть ransomware-группой в строгом смысле. По доступным материалам нет ни образца шифровальщика, ни блокировщика, ни требования ключа дешифрования. Есть бренд, переговорный портал, списки файлов, давление сроками и кошелёк для оплаты.
Официальное уведомление округа говорит, что после инцидента были развёрнуты дополнительные инструменты безопасности, усилен мониторинг с помощью средств обнаружения на конечных устройствах, проведён общий сброс паролей и ужесточены ограничения внешнего доступа. Округ также заявил, что на момент уведомления не нашёл признаков публикации или продажи персональной информации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
Доступ к почте британского МИДа выставили за $60 тысяч: след ведёт к массовой утечке Fortinet
Nintendo подтвердила утечку через сторонний HR-сервис: хакеры требовали $2 млн, но игры и пользователи не пострадали