Ramų antradienio vakarą praleidau peržiūrinėdamas nutekintų derybų žurnalų seriją, kurią per saugų „Signal“ kanalą pateikė šaltinis. Yra tam tikra baimės rūšis stebint, kaip valstybės pareigūnas suvokia, kad jų metinis biudžetas tuoj išnyks decentralizuotoje kriptovaliutų piniginėje. Žurnaluose, kuriuos „Ransom-ISAC“ organizacijai analizavo Rakeshas Krishnanas, išsamiai aprašomas mėnesį trukęs didelių statymų derybų procesas tarp grupės, vadinančios save „Kairos“, ir JAV vyriausybinio subjekto, kuris, kaip paaiškėjo, yra Union apygarda, Ohajo valstija. Galutinė kaina už tylą buvo maždaug 1 mln. JAV dolerių.
Saugumo pažeidimas įvyko po metodiškos įvykių grandinės, kuri prasidėjo nuo paprastos klaidos. Užpuolikas teigia, kad į tinklą pateko atspėjęs slaptažodį. Nebuvo jokio „nulinės dienos“ (zero-day) išnaudojimo ar sudėtingos socialinės inžinerijos. Patekęs į vidų, įsibrovėlis apėjo tradicinę gynybą, nes nesiekė nieko sugadinti. Jie norėjo pavogti. Žvelgiant iš rizikos perspektyvos, šis incidentas žymi posūkį šiuolaikinių turto prievartautojų veikloje. Jie suprato, kad pastangos, reikalingos viso tinklo užšifravimui, dažnai yra nereikalingos. Pavogti duomenys yra toksiškas turtas, o grasinimas juos paviešinti suteikia visą nusikaltėliui reikalingą svertą.
Sandoris įvyko 2025 m. birželio 13 d. 9,44 bitkoino mokėjimas nukeliavo iš aukos į „Kairos“ kontroliuojamą piniginę. Tuo metu ši suma buvo verta maždaug 1 mln. JAV dolerių. Nors apygarda 2025 m. gegužę viešai pripažino išpirkos reikalaujančios programinės įrangos ataką, šio milžiniško mokėjimo detalės liko paslėptos, kol tyrėjai atkūrė chronologiją iš nutekintų susirašinėjimų ir blokų grandinės įrašų. Auka pokalbyje save apibūdino kaip mažą apygardą su ribotais ištekliais – šis aprašymas atitinka Union apygardos profilį, kurioje gyvena apie 70 000 gyventojų.
Duomenų kiekis, dėl kurio kilo pavojus, buvo milžiniškas. „Kairos“ teigė turinti daugiau nei 2 terabaitus informacijos, įskaitant 1,6 mln. atskirų failų. Tarp jų buvo dokumentai iš vietos prokuratūros. Užpuolikas suprato šio konkretaus aplanko vertę. Jie įspėjo auką, kad šių įrašų nutekinimas suteiktų nusikaltėliams informaciją, reikalingą norint išvengti kaltinimų. Užkulisiuose spaudimas suveikė. Apygarda derybas pradėjo nuo 100 000 JAV dolerių ir galiausiai padidino savo pasiūlymą dešimt kartų, kad užkirstų kelią viešam duomenų išmetimui.
„Kairos“ yra dalis augančios grėsmių sukėlėjų tendencijos, kurie visiškai atsisakė šifravimo. Tradicinės išpirkos reikalaujančios programinės įrangos atakos metu nusikaltėlis užrakina aukos failus ir parduoda dešifravimo raktą. „Kairos“ šį žingsnį praleido. Jie veikė labiau kaip skaitmeniniai įsilaužėliai, kurie pavagia šeimos brangenybes, o tada siūlo jas parduoti savininkui už mokestį. Aukos sistemos liko veikiančios, tačiau jų reputacijai ir 45 487 gyventojų privatumui iškilo pavojus.
„Sophos“ 2025 m. pranešė, kad tik apie pusė išpirkos reikalaujančių programų atakų vis dar apima šifravimą. Tai žemiausias rodiklis per šešerius metus. Tokios grupės kaip „Silent Ransom Group“ ir „Kairos“ suprato, kad duomenų vagystės turto prievartavimas yra tylesnis ir dažnai sunkiau pastebimas nei triukšmingas, viso tinklo šifravimo įvykis. Pagal savo pobūdį šios atakos lieka nepastebėtos daugelio tradicinių antivirusinių įrankių, kurie ieško sparčių failų keitimo parašų, būdingų šifruotojams. Todėl vagis gali sėdėti tinkle ištisas savaites, lėtai išsiurbdamas duomenis per vienkartines failų bendrinimo nuorodas, tokias kaip temp.sh, nesukeldamas nė vieno pavojaus signalo.
Kai tik 9,44 bitkoino pasiekė „Kairos“ piniginę, iškart prasidėjo plovimo procesas. Praleidau ne vienerius metus sekdamas piktavalių veiksmus blokų grandinėje, ir kelias, kuriuo nuėjo šie pinigai, yra gerai žinomas. Per kelias valandas po apmokėjimo lėšos buvo padalintos į kelis naujus adresus. Tai įprasta taktika, skirta paslėpti monetų kilmę prieš joms pasiekiant išgryninimo tašką. Galiausiai pinigai nukeliavo į įnašų adresus „Bybit“ ir „OKX“ keityklose, taip pat į Rusijos paslaugą, vadinamą BELQI.
Šios kriptovaliutų keityklos yra galutinė paskirties vieta, kur skaitmeninis turtas tampa išleidžiamais grynaisiais. Nors blokų grandinė pateikia viešą kiekvieno žingsnio registrą, šios keityklos tyrėjams dažnai tarnauja kaip „mūšio rūkas“. Jei keitykla nevykdo tarptautinių teismo šaukimų, pėdsakai ties įnašo adresu dažnai atšąla. BELQI naudojimas yra ypač iškalbingas. Tai rodo pasitikėjimą Rusijos finansine ekosistema, kuri išlieka dažnu prieglobsčiu turto prievartautojams, veikiantiems už Vakarų teisėsaugos pasiekiamumo ribų.
Kai apygarda sumokėjo 1 mln. JAV dolerių, „Kairos“ pateikė failą kaip ištrynimo įrodymą. Šiame faile buvo failų pavadinimų sąrašas, kuriuos užpuolikas teigė ištrynęs. Tai yra šiuolaikinio turto prievartavimo architektūrinis paradoksas. Auka moka už veiksmą, kurio niekada negali tikrai patikrinti. Failų pavadinimų sąrašas tik įrodo, kad užpuolikas kažkada turėjo prieigą prie duomenų. Tai nesuteikia jokios garantijos, kad užpuolikas neišsaugojo kopijos arba nepardavė duomenų kitai grupei prieš įvykstant ištrynimui.
Vagio pažadą laikyti kvitu yra pavojingas lošimas. Pažeidimo atveju duomenys jau yra sukompromituoti. C.I.A. triados (konfidencialumas, vientisumas, prieinamumas) konfidencialumas sulaužomas tą akimirką, kai pirmasis terabaitas palieka tinklą. Išpirkos mokėjimas yra reaktyvi priemonė, kuria bandoma atpirkti jau sugadintą reputaciją. Tai pasitikėjimo aktas, kurį parašė nusikaltėlis. Žvelgiant į grėsmių peizažą, šie mokėjimai dažnai finansuoja kitą atakų etapą, sukurdami ciklą, nukreiptą į kitas pažeidžiamas valstybines institucijas.
Labiausiai nuvilianti „Kairos“ atvejo dalis yra patekimo taško paprastumas. Užpuolikas teigė, kad pateko atspėjęs slaptažodį. Tai priminimas, kad tinklo perimetras yra pasenęs pilies griovys, jei vartai paliekami neužrakinti. Mažų savivaldybių tinklai dažnai susiduria su pasenusiomis sistemomis ir menkais IT biudžetais, tačiau šių problemų sprendimai ne visada yra brangūs. Jie reikalauja perėjimo prie atsparesnės saugumo laikysenos.
Kalbant proaktyviai, pirmoji gynybos linija yra žmogaus ugniasienė. Tačiau net ir geriausiai apmokyti darbuotojai negali sustabdyti „brute-force“ atakos prieš paslaugą, kurioje nėra daugiaveiksnio autentifikavimo (MFA). Jei užpuolikas gali atspėti slaptažodį ir gauti prieigą, sistema sugedo architektūriniame lygmenyje. Saugumas nėra produktas, kurį nusiperkate; tai procesas, kurio laikotės. Apygardos valdžiai šis procesas turi apimti griežtą prieigos kontrolę ir jautrių duomenų segmentavimą.
Atsakomybės apribojimas: Šis straipsnis skirtas tik informaciniais ir švietimo tikslais. Jis nepakeičia profesionalaus kibernetinio saugumo audito, teismo ekspertizės tyrimo ar incidentų valdymo paslaugų. Visada konsultuokitės su teisės ir technikos specialistais, kai reaguojate į realų saugumo incidentą.



Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.
/ Sukurti nemokamą paskyrą