Державна структура у США заплатила близько $1 млн здирникам, які, за даними дослідників, не зашифрували жодного файла в мережі жертви. Згідно з кейс-стаді Ракеша Крішнана для Ransom-ISAC, група під назвою Kairos застосувала модель «чистого» вимагання, засновану на крадіжці даних: викрала файли й зажадала плату за відмову від їх оприлюднення. Аналіз базується на злитому чаті переговорів і блокчейн-трасуванні платежу. Інцидент зачепив десятки тисяч громадян, чиї персональні дані — від номерів соціального страхування до відбитків пальців — опинилися в руках зловмисників.
Хронологія інциденту та переговорів
За даними дослідження, переговори між Kairos і жертвою тривали близько місяця. Зловмисники розпочали торг із вимоги $3 млн, заявивши, що мають понад 2 терабайти даних — приблизно 1,6 млн файлів. Жертва, яка описала себе в переговорах як «невеликий округ з обмеженими ресурсами», почала з пропозиції у $100 000, поступово підвищивши її до $255 000, а потім до $430 000.
Kairos знизила вимоги до $2 млн, після чого встановила «остаточну» суму в $1 млн із жорстким дедлайном. Нападники застосовували стандартні важелі тиску: таймер зворотного відліку, стислі строки та погрози першочергово оприлюднити найчутливіші папки. Особливий акцент робився на папці з позначкою «prosecutors office» — зловмисники попереджали, що її публікація дасть змогу злочинцям уникнути висунення обвинувачень.
Як повідомляється в дослідженні, платіж було здійснено 13 червня 2025 року — приблизно 9,44 BTC, що на той момент дорівнювало близько $1 млн. Жертва заплатила вдесятеро більше за свою початкову пропозицію.
Блокчейн-трасування та «доказ видалення»
Крішнан відстежив рух коштів після оплати. За даними аналізу, упродовж кількох годин сума була роздрібнена й переміщена через ланцюжок гаманців на депозитні адреси, імовірно пов’язані з криптобіржами Bybit, OKX і російським сервісом BELQI. Таке трасування дає слідству зачіпки, але не дозволяє ідентифікувати конкретних осіб.
Після оплати Kairos надала файл «доказу видалення». Однак, як зазначає дослідник, список назв файлів підтверджує лише те, що зловмисники колись мали доступ до даних, — але жодним чином не те, що оригінали було знищено. Будь-яка обіцянка видалити викрадені дані залишається питанням довіри до сторони, яка вчинила крадіжку.
Зв’язок із реальним інцидентом
Дослідник не називає жертву прямо, однак файли, що фігурують у злитих переговорах, мають характерні назви: Union.xlsx, 1 union co psi template.doc, итоговый архив union.rar. У травні 2025 року округ Юніон (штат Огайо) офіційно повідомив про виявлення шкідливого ПЗ у своїй мережі і згодом поінформував 45 487 мешканців та співробітників про компрометацію їхніх даних. Серед викраденої інформації — номери соціального страхування, фінансові реквізити, відбитки пальців і номери паспортів. Населення округу становить близько 70 000 осіб, тобто інцидент зачепив більшість мешканців.
Важливе застереження: ані округ Юніон, ані Kairos офіційно не підтвердили зв’язок між злитими переговорами та цим інцидентом. Якщо зв’язок буде підтверджено, це означатиме, що муніципальна влада виплатила близько $1 млн без публічного розкриття факту оплати.
Вимагання без шифрування: тренд набирає обертів
Округ Юніон охарактеризував подію як атаку з використанням програм-вимагачів. Втім, у випадку Kairos не було виявлено ні шифрувальника, ні блокувальника, ні вимоги ключа для розшифрування. Єдиним інструментом тиску були самі викрадені дані.
Це не поодинокий випадок. За наявними оцінками, у 2025 році лише близько половини атак, що класифікуються як «програми-вимагачі», фактично передбачали шифрування — мінімальний показник за шість років. Деякі групи повністю відмовилися від шифрування. Зокрема, група Silent Ransom Group, яку пов’язують із колишніми учасниками Conti, протягом кількох років здійснює «чисте» вимагання на основі крадіжки даних проти юридичних і фінансових компаній у США.
Патерн переговорів Kairos також вписується у відомі моделі. Коли в лютому 2025 року злилися внутрішні чати Black Basta, аналіз виявив угоду з майже ідентичною динамікою: від вимоги $1,5 млн через зустрічну пропозицію $100 000 до підсумкової виплати $1 млн.
Поточний статус Kairos
За даними дослідження, сайт витоків Kairos наразі неактивний, а останню відому жертву групи було зафіксовано в червні 2026 року. Втім, гаманець, пов’язаний з операцією, згідно з блокчейн-аналізом, проявляв активність ще у травні 2026 року. Непрацюючий сайт витоків не дорівнює припиненню діяльності групи.
У переговорах Kairos заявила, що початковий доступ було отримано шляхом підбору пароля. Для ексфільтрації даних, за повідомленнями, використовувалися тимчасові посилання сервісу temp.sh.
Рекомендації для муніципальних і державних мереж
- Багатофакторна автентифікація (MFA) — обов’язкова для всіх облікових записів із віддаленим доступом. Kairos стверджувала, що увійшла до мережі, просто вгадавши пароль.
- Моніторинг аномалій — відстежуйте повторні невдалі спроби входу, аномально великі вихідні передавання даних і звернення до одноразових файлообмінних сервісів (temp.sh та аналоги).
- Сегментація даних — юридичні, кадрові документи та персональні дані громадян мають бути ізольовані від загальної мережі.
- План публічного реагування — підготуйте шаблон заяви та порядок повідомлення ще до настання інциденту.
- Ставлення до «доказів видалення» — список назв файлів не є підтвердженням знищення даних. Будь-яка обіцянка зловмисника видалити викрадене не має жодних гарантій.
Кейс Kairos демонструє відчутний зсув в економіці вимагання: шифрування стає необов’язковим, коли самого факту крадіжки чутливих даних уже достатньо. Для організацій з обмеженими бюджетами на безпеку — насамперед муніципальних структур — пріоритетом мають бути MFA на всіх точках входу, сегментація сховищ персональних даних і моніторинг великих вихідних передавань. Сплата викупу не дає жодних гарантій: «квитанція» про видалення даних написана рукою того, хто їх украв.