Mastodon Mastodon Mastodon Mastodon

US-County zahlt 1 Mio. Dollar für angebliche Datenlöschung durch Kairos

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Eine staatliche Struktur in den USA zahlte rund 1 Mio. US-Dollar an Erpresser, die nach Angaben von Forschern in keinem einzigen System im Netzwerk des Opfers Dateien verschlüsselten. Laut der Fallstudie von Rakesh Krishnan für Ransom-ISAC nutzte eine Gruppe namens Kairos ein Modell der reinen, datendiebstahlsbasierten Erpressung: Sie stahl Dateien und forderte Geld dafür, diese nicht zu veröffentlichen. Die Analyse stützt sich auf einen geleakten Verhandlungschat und die Blockchain-Nachverfolgung der Zahlung. Der Vorfall betraf zehntausende Bürger, deren personenbezogene Daten – von Sozialversicherungsnummern bis hin zu Fingerabdrücken – in die Hände der Angreifer gelangten.

Chronologie des Vorfalls und der Verhandlungen

Den Untersuchungen zufolge dauerten die Verhandlungen zwischen Kairos und dem Opfer rund einen Monat. Die Angreifer eröffneten den „Handel“ mit einer Forderung von 3 Mio. US-Dollar und gaben an, über mehr als 2 Terabyte Daten – etwa 1,6 Mio. Dateien – zu verfügen. Das Opfer, das sich in den Verhandlungen als „kleiner County mit begrenzten Ressourcen“ beschrieb, begann mit einem Angebot von 100.000 US-Dollar, das schrittweise auf 255.000 US-Dollar und später auf 430.000 US-Dollar erhöht wurde.

Kairos senkte seine Forderungen auf 2 Mio. US-Dollar und legte anschließend einen „endgültigen“ Betrag von 1 Mio. US-Dollar mit einer strikten Deadline fest. Die Angreifer nutzten dabei gängige Druckmittel: einen Countdown-Timer, enge Fristen und die Drohung, die sensibelsten Ordner zuerst zu veröffentlichen. Besonderer Nachdruck lag auf einem Ordner mit der Bezeichnung „prosecutors office“ – die Angreifer warnten, dessen Veröffentlichung würde es Kriminellen ermöglichen, einer Anklage zu entgehen.

Wie in der Studie berichtet wird, erfolgte die Zahlung am 13. Juni 2025 – rund 9,44 BTC, was zu diesem Zeitpunkt etwa 1 Mio. US-Dollar entsprach. Das Opfer zahlte damit das Zehnfache seines ursprünglichen Angebots.

Blockchain-Nachverfolgung und „Löschnachweis“

Krishnan verfolgte die Bewegung der Gelder nach der Zahlung. Laut der Analyse wurde der Betrag innerhalb weniger Stunden aufgeteilt und über eine Kette von Wallets zu Einzahlungsadressen transferiert, die mutmaßlich mit den Kryptobörsen Bybit, OKX und dem russischen Dienst BELQI in Verbindung stehen. Eine solche Nachverfolgung liefert der Strafverfolgung Anhaltspunkte, erlaubt jedoch nicht die Identifizierung konkreter Personen.

Nach der Zahlung stellte Kairos eine Datei als „Beweis der Löschung“ zur Verfügung. Wie der Forscher anmerkt, bestätigt die darin enthaltene Liste von Dateinamen jedoch lediglich, dass die Angreifer irgendwann Zugriff auf die Daten hatten – nicht aber, dass die Originale tatsächlich vernichtet wurden. Jedes Versprechen, gestohlene Daten zu löschen, bleibt eine Frage des Vertrauens in jene Partei, die den Diebstahl begangen hat.

Bezug zu einem realen Vorfall

Der Forscher benennt das Opfer nicht ausdrücklich, doch die in den geleakten Verhandlungen genannten Dateien tragen charakteristische Namen: Union.xlsx, 1 union co psi template.doc, abschließendes Archiv union.rar. Im Mai 2025 informierte Union County (Bundesstaat Ohio) offiziell über die Entdeckung von Schadsoftware im eigenen Netzwerk und benachrichtigte anschließend 45.487 Einwohner und Mitarbeiter über die Kompromittierung ihrer Daten. Zu den entwendeten Informationen zählen Sozialversicherungsnummern, Finanzdaten, Fingerabdrücke und Passnummern. Die Bevölkerung des Countys liegt bei rund 70.000 Menschen, der Vorfall betraf also die Mehrheit der Einwohner.

Wichtige Anmerkung: Weder Union County noch Kairos haben den Zusammenhang zwischen den geleakten Verhandlungen und diesem Vorfall offiziell bestätigt. Sollte sich der Zusammenhang bestätigen, würde dies bedeuten, dass die Kommunalverwaltung etwa 1 Mio. US-Dollar zahlen ließ, ohne die Zahlung öffentlich offenzulegen.

Erpressung ohne Verschlüsselung: ein wachsender Trend

Union County beschrieb den Vorfall als Angriff mit Ransomware. Im Fall von Kairos wurden jedoch weder ein Verschlüsselungstrojaner noch ein Locker noch eine Forderung nach einem Entschlüsselungsschlüssel festgestellt. Das einzige Druckmittel waren die gestohlenen Daten selbst.

Dies ist kein Einzelfall. Schätzungen zufolge enthielt im Jahr 2025 nur etwa die Hälfte der als „Ransomware“ eingestuften Angriffe tatsächlich einen Verschlüsselungsanteil – der niedrigste Wert seit sechs Jahren. Einige Gruppen haben die Verschlüsselung vollständig aufgegeben. So setzt etwa die mit ehemaligen Mitgliedern von Conti in Verbindung gebrachte Gruppe Silent Ransom Group seit mehreren Jahren auf reine datendiebstahlsbasierte Erpressung gegen Anwaltskanzleien und Finanzunternehmen in den USA.

Auch das Verhandlungsmuster von Kairos fügt sich in bekannte Schemata ein. Als im Februar 2025 interne Chats von Black Basta geleakt wurden, zeigte die Analyse einen Deal mit nahezu identischer Dynamik: von einer Forderung von 1,5 Mio. US-Dollar über ein Gegenangebot von 100.000 US-Dollar hin zu einer endgültigen Zahlung von 1 Mio. US-Dollar.

Aktueller Status von Kairos

Laut der Untersuchung ist die Leak-Seite von Kairos derzeit inaktiv, und das letzte bekannte Opfer der Gruppe wurde im Juni 2026 registriert. Die mit der Operation verbundene Wallet zeigte laut Blockchain-Analyse allerdings noch im Mai 2026 Aktivität. Eine nicht funktionierende Leak-Seite bedeutet also nicht zwangsläufig, dass die Gruppe ihre Tätigkeit eingestellt hat.

Kairos gab in den Verhandlungen an, den Erstzugang durch das Erraten eines Passworts erlangt zu haben. Für die Exfiltration der Daten wurden den Angaben zufolge temporäre Links des Dienstes temp.sh genutzt.

Empfehlungen für kommunale und staatliche Netze

  • Multi-Faktor-Authentifizierung (MFA) – ist für alle Konten mit Remote-Zugriff verpflichtend. Kairos behauptete, ins Netzwerk gelangt zu sein, indem schlicht ein Passwort erraten wurde.
  • Anomalie-Monitoring – überwachen Sie wiederholte fehlgeschlagene Anmeldeversuche, ungewöhnlich große ausgehende Datenübertragungen und Zugriffe auf Einweg-Dateifreigabedienste (temp.sh und ähnliche).
  • Datensegmentierung – juristische und Personalunterlagen sowie personenbezogene Daten von Bürgern sollten von der allgemeinen Netzwerkinfrastruktur isoliert werden.
  • Plan für die öffentliche Reaktion – bereiten Sie Textbausteine für Stellungnahmen und einen Ablauf für Benachrichtigungen vor, bevor ein Zwischenfall eintritt.
  • Umgang mit „Löschnachweisen“ – eine Liste von Dateinamen ist kein Beleg für die Vernichtung von Daten. Das Versprechen eines Angreifers, gestohlene Daten zu löschen, bietet keinerlei Garantie.

Der Fall Kairos zeigt einen konkreten Wandel in der Ökonomie der Erpressung: Verschlüsselung wird überflüssig, wenn allein der Diebstahl sensibler Daten ausreicht. Für Organisationen mit begrenzten Sicherheitsbudgets – insbesondere kommunale Einrichtungen – sollten MFA an allen Zugangspunkten, die Segmentierung von Speicherorten für personenbezogene Daten und die Überwachung großer ausgehender Übertragungen oberste Priorität haben. Die Zahlung eines Lösegelds bietet keinerlei Garantien: Die „Quittung“ über die Löschung der Daten stammt von genau jener Partei, die sie gestohlen hat.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.