Государственная структура в США заплатила около $1 млн вымогателям, которые, по данным исследователей, не зашифровали ни одного файла в сети жертвы. Согласно кейс-стади Ракеша Кришнана для Ransom-ISAC, группа под названием Kairos применила модель чистого вымогательства на основе кражи данных: похитила файлы и потребовала плату за отказ от их публикации. Анализ построен на утёкшем чате переговоров и блокчейн-трассировке платежа. Инцидент затронул десятки тысяч граждан, чьи персональные данные — от номеров социального страхования до отпечатков пальцев — оказались в руках злоумышленников.
Хронология инцидента и переговоров
По данным исследования, переговоры между Kairos и жертвой длились около месяца. Злоумышленники открыли торг с требования в $3 млн, заявив о наличии более 2 терабайт данных — приблизительно 1,6 млн файлов. Жертва, описавшая себя в переговорах как «небольшое округа с ограниченными ресурсами», начала с предложения в $100 000, постепенно увеличив его до $255 000, а затем до $430 000.
Kairos снизила требования до $2 млн, после чего установила «окончательную» сумму в $1 млн с жёстким дедлайном. Атакующие применяли стандартные рычаги давления: таймер обратного отсчёта, сжатые сроки и угрозы опубликовать наиболее чувствительные папки первыми. Особый акцент делался на папке с пометкой «prosecutors office» — злоумышленники предупреждали, что её публикация позволит преступникам избежать обвинений.
Как сообщается в исследовании, оплата была произведена 13 июня 2025 года — примерно 9,44 BTC, что на тот момент составляло около $1 млн. Жертва заплатила в десять раз больше своего первоначального предложения.
Блокчейн-трассировка и «доказательство удаления»
Кришнан проследил движение средств после оплаты. По данным анализа, в течение нескольких часов сумма была разделена и перемещена через цепочку кошельков к депозитным адресам, предположительно связанным с криптобиржами Bybit, OKX и российским сервисом BELQI. Такая трассировка даёт следствию зацепки, но не позволяет идентифицировать конкретных лиц.
После оплаты Kairos предоставила файл «доказательства удаления». Однако, как отмечает исследователь, список имён файлов подтверждает лишь то, что злоумышленники когда-то имели доступ к данным, — но никак не то, что оригиналы были уничтожены. Любое обещание удалить украденные данные остаётся вопросом доверия к стороне, совершившей кражу.
Связь с реальным инцидентом
Исследователь не называет жертву напрямую, однако файлы, фигурирующие в утёкших переговорах, носят характерные имена: Union.xlsx, 1 union co psi template.doc, итоговый архив union.rar. В мае 2025 года округ Юнион (штат Огайо) официально сообщил об обнаружении вредоносного ПО в своей сети и впоследствии уведомил 45 487 жителей и сотрудников о компрометации их данных. Среди похищенной информации — номера социального страхования, финансовые реквизиты, отпечатки пальцев и номера паспортов. Население округа составляет около 70 000 человек, то есть инцидент затронул большинство жителей.
Важная оговорка: ни округ Юнион, ни Kairos официально не подтвердили связь между утёкшими переговорами и данным инцидентом. Если связь подтвердится, это означает, что муниципальное правительство выплатило около $1 млн без публичного раскрытия факта оплаты.
Вымогательство без шифрования: тренд набирает силу
Округ Юнион охарактеризовал произошедшее как атаку с использованием программ-вымогателей. Однако в случае Kairos не обнаружено ни шифровальщика, ни блокировщика, ни требования ключа дешифрования. Единственным инструментом давления были сами украденные данные.
Это не единичный случай. По имеющимся оценкам, в 2025 году лишь около половины атак, классифицируемых как «программы-вымогатели», фактически включали шифрование — минимальный показатель за шесть лет. Некоторые группы полностью отказались от шифрования. В частности, группа Silent Ransom Group, связываемая с бывшими участниками Conti, на протяжении нескольких лет проводит чистое вымогательство на основе кражи данных против юридических и финансовых компаний в США.
Паттерн переговоров Kairos также вписывается в известные модели. Когда в феврале 2025 года утекли внутренние чаты Black Basta, анализ выявил сделку с практически идентичной дугой: от требования $1,5 млн через контрпредложение $100 000 к итоговой выплате $1 млн.
Текущий статус Kairos
По данным исследования, сайт утечек Kairos в настоящее время неактивен, а последняя известная жертва группы была зафиксирована в июне 2026 года. Однако кошелёк, связанный с операцией, по данным блокчейн-анализа, проявлял активность ещё в мае 2026 года. Неработающий сайт утечек не равнозначен прекращению деятельности группы.
Kairos заявила в переговорах, что первоначальный доступ был получен путём подбора пароля. Для эксфильтрации данных, как сообщается, использовались временные ссылки сервиса temp.sh.
Рекомендации для муниципальных и государственных сетей
- Многофакторная аутентификация (MFA) — обязательна для всех учётных записей с удалённым доступом. Kairos утверждала, что вошла в сеть, просто угадав пароль.
- Мониторинг аномалий — отслеживайте повторные неудачные попытки входа, аномально большие исходящие передачи данных и обращения к одноразовым файлообменным сервисам (temp.sh и аналоги).
- Сегментация данных — юридические, кадровые документы и персональные данные граждан должны быть изолированы от общей сети.
- План публичного реагирования — подготовьте шаблон заявления и порядок уведомления до наступления инцидента.
- Отношение к «доказательствам удаления» — список имён файлов не является подтверждением уничтожения данных. Любое обещание злоумышленника удалить похищенное не имеет никакой гарантии.
Кейс Kairos демонстрирует конкретный сдвиг в экономике вымогательства: шифрование становится необязательным, когда достаточно самого факта кражи чувствительных данных. Для организаций с ограниченными бюджетами на безопасность — прежде всего муниципальных структур — приоритетом должны стать MFA на всех точках входа, сегментация хранилищ персональных данных и мониторинг крупных исходящих передач. Выплата выкупа не даёт никаких гарантий: «квитанция» об удалении данных написана рукой того, кто их украл.