Kiberdrošība

Slepena miljona dolāru izpirkuma maksājuma sekcija kādā ASV apgabalā

Analīze par 1 miljona dolāru slepeno maksājumu, ko kāds ASV apgabals veica Kairos grupai, pētot pāreju no šifrēšanas uz tīru datu zādzības izspiešanu.
Slepena miljona dolāru izpirkuma maksājuma sekcija kādā ASV apgabalā

Es pavadīju klusu otrdienas vakaru, pārskatot nopludinātu sarunu žurnālus, ko man caur drošu Signal kanālu sniedza kāds avots. Ir īpašs baiļu veids, vērojot, kā valsts amatpersona apzinās, ka viņu gada budžets tūlīt pazudīs decentralizētā kriptovalūtas makā. Žurnāli, kurus Ransom-ISAC uzdevumā analizēja Rakešs Krišnans (Rakesh Krishnan), detalizēti apraksta mēnesi ilgas augstu likmju sarunas starp grupu, kas sevi dēvē par Kairos, un ASV valdības struktūru, kas, domājams, ir Savienības apgabals (Union County) Ohaio štatā. Galīgā cena par klusēšanu bija aptuveni 1 miljons dolāru.

Datu aizsardzības pārkāpums sekoja metodiskai notikumu ķēdei, kas sākās ar vienkāršu kļūmi. Uzbrucējs apgalvo, ka tīklā iekļuvis, uzminot paroli. Nebija nekādu "nulles dienas" ievainojamību un nekādas sarežģītas sociālās inženierijas. Iekļuvis iekšpusē, iebrucējs apgāja tradicionālo aizsardzību, jo viņa mērķis nebija kaut ko sabojāt. Viņi vēlējās kaut ko paņemt. No riska perspektīvas šis incidents iezīmē pārmaiņas mūsdienu izspiedēju darbībā. Viņi ir sapratuši, ka pūles, kas nepieciešamas visa tīkla šifrēšanai, bieži vien ir liekas. Zagti dati ir toksisks aktīvs, un draudi tos publiskot sniedz visas sviras, kas noziedzniekam nepieciešamas.

Klusas padošanās papīra pēdas

Darījums notika 2025. gada 13. jūnijā. Maksājums 9,44 bitkoina apmērā tika pārskaitīts no upura uz Kairos kontrolētu maku. Tajā laikā šī summa bija aptuveni 1 miljons dolāru vērta. Lai gan apgabals 2025. gada maijā publiski atzina izspiedējvīrusa uzbrukumu, šī vērienīgā maksājuma detaļas palika slēptas, līdz pētnieki rekonstruēja notikumu hronoloģiju no nopludinātām tērzēšanas sarunām un blokķēdes ierakstiem. Upuris tērzēšanā sevi raksturoja kā mazu apgabalu ar ierobežotiem resursiem — apraksts, kas atbilst Savienības apgabala profilam, kurā dzīvo aptuveni 70 000 iedzīvotāju.

Apdraudētie dati bija milzīgi. Kairos apgalvoja, ka viņu rīcībā ir vairāk nekā 2 terabaiti informācijas, tostarp 1,6 miljoni atsevišķu failu. Starp tiem bija dokumenti no vietējās prokuratūras. Uzbrucējs saprata šīs konkrētās mapes vērtību. Viņi brīdināja upuri, ka šo ierakstu nopludināšana sniegtu noziedzniekiem informāciju, kas nepieciešama, lai izvairītos no apsūdzībām. Aizkulisēs spiediens nostrādāja. Apgabals sāka sarunas ar 100 000 ASV dolāru un galu galā palielināja savu piedāvājumu desmit reizes, lai novērstu publisku datu izgāšanu.

Tīras izspiešanas spēles anatomija

Kairos ir daļa no pieaugošas draudu izpildītāju tendences, kuri ir pilnībā atteikušies no šifrēšanas. Tradicionālā izspiedējvīrusa uzbrukumā noziedznieks bloķē upura failus un pārdod atšifrēšanas atslēgu. Kairos šo soli izlaida. Viņi darbojās vairāk kā digitāli zagļi, kuri nozog ģimenes dārglietas un pēc tam piedāvā tās pārdot īpašniekam par maksu. Upura sistēmas palika darboties spējīgas, taču viņu reputācija un 45 487 iedzīvotāju privātums bija apdraudēts.

Sophos 2025. gadā ziņoja, ka tikai aptuveni puse izspiedējvīrusu uzbrukumu joprojām ietver šifrēšanu. Tas ir zemākais rādītājs pēdējo sešu gadu laikā. Grupas, piemēram, Silent Ransom Group un Kairos, ir sapratušas, ka datu zādzības izspiešana ir klusāka un bieži vien grūtāk pamanāma nekā skaļš, visa tīkla mēroga šifrēšanas pasākums. Pēc konstrukcijas šie uzbrukumi paliek zem daudzu tradicionālo pretvīrusu rīku radara, kas meklē šifrētājam raksturīgus straujas failu modificēšanas parakstus. Līdz ar to zaglis var sēdēt tīklā nedēļām ilgi, lēnām izfiltrējot datus caur pagaidu failu koplietošanas saitēm, piemēram, temp.sh, neizraisot nevienu trauksmi.

Sekojiet naudai līdz biržām

Tiklīdz 9,44 bitkoini nonāca Kairos makā, nekavējoties sākās atmazgāšanas process. Esmu pavadījis gadus, izsekojot ļaundarus blokķēdē, un ceļš, ko šī nauda mēroja, ir pazīstams. Dažu stundu laikā pēc maksājuma veikšanas līdzekļi tika sadalīti pa vairākām jaunām adresēm. Tā ir izplatīta taktika, lai noslēptu monētu izcelsmi, pirms tās sasniedz izejas punktu. Nauda galu galā nonāca depozīta adresēs biržās Bybit un OKX, kā arī Krievijas servisā BELQI.

Šīs kriptovalūtu biržas ir galamērķis, kur digitālie aktīvi kļūst par tērējamu skaidru naudu. Lai gan blokķēde nodrošina publisku katra gājiena reģistru, šīs biržas izmeklētājiem bieži kalpo kā "kara migla". Ja vien birža neizpilda starptautiskas pavēstes, pēdas pie depozīta adreses bieži vien pazūd. BELQI izmantošana ir īpaši izteiksmīga. Tā liecina par ērtības sajūtu Krievijas finanšu ekosistēmā, kas joprojām ir bieža patvēruma vieta izspiedējiem, kuri darbojas ārpus Rietumu tiesībsargājošo iestāžu sasniedzamības.

Ilūzija par dzēšanas pierādījumu

Kad apgabals samaksāja 1 miljonu dolāru, Kairos iesniedza failu kā dzēšanas pierādījumu. Šis fails saturēja failu nosaukumu sarakstu, kurus uzbrucējs apgalvoja, ka ir izdzēsis. Tas ir mūsdienu izspiešanas arhitektoniskais paradokss. Upuris maksā par darbību, kuru viņš nekad nevar patiesi pārbaudīt. Failu nosaukumu saraksts pierāda tikai to, ka uzbrucējam reiz ir bijusi piekļuve datiem. Tas nedod nekādu garantiju, ka uzbrucējs nav saglabājis kopiju vai pārdevis datus citai grupai pirms dzēšanas.

Uztvert zagļa solījumu kā kvīti ir bīstama azartspēle. Datu aizsardzības pārkāpuma gadījumā dati jau ir kompromitēti. CIA triādes konfidencialitāte tiek sagrauta brīdī, kad pirmais terabaits pamet tīklu. Izpirkuma maksāšana ir reaktīvs pasākums, ar kuru mēģina atpirkt reputāciju, kas jau ir sabojāta. Tas ir ticības akts, ko sarakstījis noziedznieks. Raugoties uz draudu ainavu, šie maksājumi bieži finansē nākamo uzbrukumu kārtu, radot ciklu, kura mērķis ir citas neaizsargātas valdības struktūras.

Nepietiekami finansēta tīkla drošība

Visvairāk sarūgtinošā Kairos lietas daļa ir iekļūšanas punkta vienkāršība. Uzbrucējs apgalvoja, ka iekļuvis, uzminot paroli. Tas ir atgādinājums, ka tīkla perimetrs ir novecojis pils grāvis, ja vārti ir atstāti neaizslēgti. Mazas valdības iestādes bieži cīnās ar mantotām sistēmām un plāniem IT budžetiem, taču šo problēmu risinājumi ne vienmēr ir dārgi. Tie prasa pāreju uz noturīgāku drošības pozīciju.

Runājot proaktīvi, pirmā aizsardzības līnija ir cilvēka ugunsmūris. Tomēr pat vislabāk apmācīti darbinieki nevar apturēt brutālā spēka uzbrukumu pakalpojumam, kuram trūkst daudzfaktoru autentifikācijas (MFA). Ja uzbrucējs var uzminēt paroli un iegūt piekļuvi, sistēma ir pievīlusi arhitektūras līmenī. Drošība nav produkts, ko jūs pērkat; tas ir process, kuram jūs sekojat. Apgabala pārvaldei šim procesam ir jāietver stingra piekļuves kontrole un sensitīvu datu segmentēšana.

Galvenās atziņas valsts un privātajām struktūrām

  • Ieviesiet daudzfaktoru autentifikāciju katram ārējam pakalpojumam. Paroļu minēšana joprojām ir visizplatītākais veids, kā tādas grupas kā Kairos iegūst pamatu.
  • Pārraugiet liela apjoma izejošos datu pārsūtījumus. Ja uzbrucējs pārvieto 2 terabaitus datu, tam būtu jāizraisa tūlītēja izmeklēšana labi uzraudzītā SOC.
  • Segmentējiet savu tīklu. Glabājiet prokuratūras, personāla ierakstus un finanšu datus izolētās zonās. Tas neļauj zaglim piekļūt visiem "troņa dārgumiem" pēc viena zema līmeņa konta kompromitēšanas.
  • Auditējiet savu failu koplietošanas trafiku. Bloķējiet vai brīdiniet par pārsūtīšanu uz pagaidu mitināšanas vietnēm, piemēram, temp.sh, kuras bieži izmanto datu eksfiltrācijai.
  • Pieņemiet, ka dati ir zuduši. Tiklīdz dati ir nozagti, neviens maksājums nevar patiesi atjaunot to konfidencialitāti. Prioritizējiet novēršanu un atklāšanu, nevis sarunas.

Avoti un turpmākai lasīšanai

  • Ransom-ISAC: Case Study on Kairos and Union County, Ohio (2025)
  • Sophos: State of Ransomware Report 2025
  • NIST: Guide to Data Confidentiality and Extortion Defense (SP 800-209)
  • MITRE ATT&CK: Exfiltration Over Web Service (T1567)

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem. Tas neaizstāj profesionālu kiberdrošības auditu, tiesu ekspertīzi vai incidentu reaģēšanas pakalpojumu. Vienmēr konsultējieties ar juridiskiem un tehniskiem speciālistiem, reaģējot uz reālu drošības incidentu.

bg
bg
bg

Uz tikšanos otrā pusē.

Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.

/ Izveidot bezmaksas kontu