Ho trascorso un tranquillo martedì sera a esaminare una serie di log di negoziazione trapelati, forniti da una fonte attraverso un canale Signal sicuro. C'è un tipo specifico di terrore nel vedere un funzionario pubblico rendersi conto che il proprio budget annuale sta per svanire in un portafoglio cripto decentralizzato. I log, analizzati da Rakesh Krishnan per Ransom-ISAC, descrivono dettagliatamente un mese di trattative ad alta posta in gioco tra un gruppo che si fa chiamare Kairos e un ente governativo statunitense che sembra essere la contea di Union, nell'Ohio. Il prezzo finale per il silenzio è stato di circa 1 milione di dollari.
La violazione segue una catena metodica di eventi iniziata con un semplice fallimento. L'attaccante afferma di essere entrato nella rete indovinando una password. Non c'è stato alcun exploit zero-day né una complessa ingegneria sociale. Una volta all'interno, l'intruso ha aggirato le difese tradizionali perché non cercava di rompere le cose. Voleva prenderle. Dal punto di vista del rischio, questo incidente segna un cambiamento nel modo in cui operano i moderni estorsori. Hanno capito che lo sforzo richiesto per crittografare un'intera rete è spesso non necessario. I dati rubati sono un asset tossico e la minaccia della loro pubblicazione fornisce tutta la leva di cui un criminale ha bisogno.
La transazione è avvenuta il 13 giugno 2025. Un pagamento di 9,44 bitcoin è passato dalla vittima a un portafoglio controllato da Kairos. All'epoca, questa cifra valeva circa 1 milione di dollari. Sebbene la contea abbia riconosciuto pubblicamente un attacco ransomware nel maggio 2025, i dettagli di questo massiccio pagamento sono rimasti nascosti fino a quando i ricercatori non hanno ricostruito la cronologia dai log delle chat trapelate e dai record della blockchain. La vittima nella chat si è descritta come una piccola contea con risorse limitate, una descrizione che corrisponde al profilo della contea di Union, che serve circa 70.000 residenti.
I dati in gioco erano immensi. Kairos ha affermato di possedere più di 2 terabyte di informazioni, inclusi 1,6 milioni di singoli file. Tra questi c'erano documenti dell'ufficio del procuratore locale. L'attaccante ha compreso il valore di questa specifica cartella. Hanno avvertito la vittima che la fuga di questi record avrebbe fornito ai criminali le informazioni necessarie per eludere le accuse. Dietro le quinte, la pressione ha funzionato. La contea ha iniziato la sua negoziazione a 100.000 dollari e alla fine ha aumentato la sua offerta fino a dieci volte tanto per impedire una pubblicazione di dati di massa.
Kairos fa parte di una tendenza crescente di attori delle minacce che hanno abbandonato del tutto la crittografia. In un tradizionale attacco ransomware, il criminale blocca i file della vittima e vende la chiave di decrittazione. Kairos ha saltato quel passaggio. Ha funzionato più come un ladro digitale che ruba i gioielli di famiglia e poi si offre di rivenderli al proprietario dietro compenso. I sistemi della vittima sono rimasti operativi, ma la loro reputazione e la privacy di 45.487 residenti erano a rischio.
Sophos ha riferito nel 2025 che solo circa la metà degli attacchi ransomware coinvolge ancora la crittografia. Questo è il tasso più basso in sei anni. Gruppi come Silent Ransom Group e Kairos hanno capito che l'estorsione tramite furto di dati è più silenziosa e spesso più difficile da rilevare rispetto a un rumoroso evento di crittografia a livello di rete. Per progettazione, questi attacchi rimangono fuori dai radar di molti strumenti antivirus tradizionali che cercano le firme di modifica rapida dei file tipiche di un crittografo. Di conseguenza, un ladro può rimanere in una rete per settimane, esfiltrando lentamente i dati attraverso link di condivisione file temporanei come temp.sh, senza far scattare un singolo allarme.
Una volta che i 9,44 bitcoin hanno raggiunto il portafoglio di Kairos, il processo di riciclaggio è iniziato immediatamente. Ho trascorso anni a tracciare attori malintenzionati attraverso la blockchain e il percorso intrapreso da questo denaro è familiare. Poche ore dopo il pagamento, i fondi sono stati suddivisi su più nuovi indirizzi. Questa è una tattica comune per oscurare l'origine delle monete prima che raggiungano un punto di uscita. Il denaro è infine confluito verso indirizzi di deposito presso Bybit e OKX, insieme a un servizio russo chiamato BELQI.
Questi exchange di criptovalute sono la destinazione finale in cui le risorse digitali diventano contanti spendibili. Sebbene la blockchain fornisca un registro pubblico di ogni mossa, questi exchange spesso fungono da nebbia di guerra per gli investigatori. A meno che l'exchange non rispetti i mandati internazionali, la traccia spesso si interrompe all'indirizzo di deposito. L'uso di BELQI è particolarmente significativo. Suggerisce un livello di comfort con l'ecosistema finanziario russo, che rimane un rifugio frequente per gli estorsori che operano al di fuori della portata delle forze dell'ordine occidentali.
Quando la contea ha pagato il milione di dollari, Kairos ha fornito un file come prova della cancellazione. Questo file conteneva un elenco di nomi di file che l'attaccante sosteneva fossero stati cancellati. Questo è il paradosso architettonico della moderna estorsione. Una vittima paga per un'azione che non potrà mai veramente verificare. Un elenco di nomi di file prova solo che l'attaccante ha avuto accesso ai dati. Non offre alcuna garanzia che l'attaccante non ne abbia conservato una copia o non abbia venduto i dati a un altro gruppo prima che avvenisse la cancellazione.
Trattare la promessa di un ladro come una ricevuta è una scommessa pericolosa. In caso di violazione, i dati sono già compromessi. La riservatezza della triade CIA è infranta nel momento in cui il primo terabyte lascia la rete. Pagare il riscatto è una misura reattiva che tenta di ricomprare una reputazione che è già stata danneggiata. È un atto di fede scritto da un criminale. Guardando il panorama delle minacce, questi pagamenti spesso finanziano il round successivo di attacchi, creando un ciclo che prende di mira altri enti governativi vulnerabili.
La parte più frustrante del caso Kairos è la semplicità del punto di ingresso. L'attaccante ha affermato di essere entrato indovinando una password. Questo ci ricorda che il perimetro della rete è un fossato di un castello obsoleto se il cancello viene lasciato aperto. Le reti dei piccoli governi spesso lottano con sistemi legacy e budget IT limitati, ma le soluzioni a questi problemi non sono sempre costose. Richiedono un passaggio verso una postura di sicurezza più resiliente.
Parlando in modo proattivo, la prima linea di difesa è il firewall umano. Tuttavia, anche i dipendenti meglio addestrati non possono fermare un attacco brute-force su un servizio privo di autenticazione a più fattori (MFA). Se un attaccante può indovinare una password e ottenere l'accesso, il sistema ha fallito a livello architettonico. La sicurezza non è un prodotto che si compra; è un processo che si segue. Per il governo di una contea, quel processo deve includere rigorosi controlli di accesso e la segmentazione dei dati sensibili.
Dichiarazione di non responsabilità: questo articolo è solo a scopo informativo ed educativo. Non sostituisce un audit professionale di cybersecurity, un'indagine forense o un servizio di risposta agli incidenti. Consultare sempre professionisti legali e tecnici quando si risponde a un incidente di sicurezza in corso.



La nostra soluzione di archiviazione e-mail crittografata end-to-end fornisce i mezzi più potenti per lo scambio sicuro dei dati, garantendo la sicurezza e la privacy dei tuoi dati.
/ Creare un account gratuito