Я провел тихий вечер вторника, изучая серию просочившихся логов переговоров, предоставленных источником через защищенный канал Signal. Есть особый вид ужаса в том, чтобы наблюдать, как государственное должностное лицо осознает, что годовой бюджет их округа вот-вот исчезнет в децентрализованном криптокошельке. Логи, проанализированные Ракешем Кришнаном для Ransom-ISAC, подробно описывают месяц напряженных торгов между группировкой, называющей себя Kairos, и государственным органом США, которым, судя по всему, является округ Юнион, штат Огайо. Окончательная цена за молчание составила примерно 1 миллион долларов.
Взлом последовал за методичной цепочкой событий, начавшейся с простой ошибки. Злоумышленник утверждает, что проник в сеть, угадав пароль. Не было ни эксплойтов нулевого дня, ни сложной социальной инженерии. Оказавшись внутри, злоумышленник обошел традиционные средства защиты, потому что не стремился что-то сломать. Он хотел что-то забрать. С точки зрения рисков, этот инцидент знаменует собой сдвиг в методах работы современных вымогателей. Они поняли, что усилия, необходимые для шифрования всей сети, часто излишни. Украденные данные — это токсичный актив, а угроза их публикации дает все рычаги давления, необходимые преступнику.
Транзакция состоялась 13 июня 2025 года. Платеж в размере 9,44 биткоина перешел от жертвы на кошелек, контролируемый Kairos. На тот момент эта сумма составляла примерно 1 миллион долларов. Хотя администрация округа публично признала факт атаки программы-вымогателя в мае 2025 года, подробности этой крупной выплаты оставались скрытыми до тех пор, пока исследователи не восстановили хронологию по утекшим чатам и записям в блокчейне. Жертва в чате описывала себя как небольшой округ с ограниченными ресурсами, что соответствует профилю округа Юнион, в котором проживает около 70 000 человек.
Объем данных, поставленных на карту, был огромен. Kairos утверждала, что владеет более чем 2 терабайтами информации, включая 1,6 миллиона отдельных файлов. Среди них были документы из офиса местного прокурора. Злоумышленник понимал ценность этой конкретной папки. Они предупредили жертву, что утечка этих записей предоставит преступникам информацию, необходимую для уклонения от обвинений. За кулисами давление сработало. Округ начал переговоры со 100 000 долларов и в итоге увеличил свое предложение в десять раз, чтобы предотвратить публичный сброс данных.
Kairos — часть растущего тренда злоумышленников, которые полностью отказались от шифрования. В традиционной атаке с использованием вымогательского ПО преступник блокирует файлы жертвы и продает ключ дешифрования. Kairos пропустила этот шаг. Они действовали скорее как цифровые грабители, которые крадут фамильные драгоценности, а затем предлагают владельцу выкупить их обратно за плату. Системы жертвы оставались работоспособными, но их репутация и конфиденциальность 45 487 жителей оказались под угрозой.
В 2025 году компания Sophos сообщила, что только около половины атак вымогателей все еще включают шифрование. Это самый низкий показатель за последние шесть лет. Такие группы, как Silent Ransom Group и Kairos, поняли, что вымогательство через кражу данных проходит тише и зачастую его сложнее обнаружить, чем шумное шифрование всей сети. По задумке, такие атаки остаются вне поля зрения многих традиционных антивирусных инструментов, которые ищут сигнатуры быстрого изменения файлов, характерные для шифровальщиков. Следовательно, вор может находиться в сети неделями, медленно выкачивая данные через одноразовые ссылки файлообменников, таких как temp.sh, не вызывая ни одного сигнала тревоги.
Как только 9,44 биткоина попали в кошелек Kairos, процесс отмывания начался незамедлительно. Я потратил годы на отслеживание злоумышленников в блокчейне, и путь, по которому пошли эти деньги, мне знаком. В течение нескольких часов после оплаты средства были распределены по нескольким новым адресам. Это обычная тактика, позволяющая скрыть происхождение монет до того, как они достигнут точки вывода. В конечном итоге деньги поступили на депозитные адреса бирж Bybit и OKX, а также российского сервиса под названием BELQI.
Эти криптобиржи являются конечным пунктом назначения, где цифровые активы превращаются в наличные деньги. Хотя блокчейн предоставляет публичный реестр каждого перемещения, эти биржи часто служат «туманом войны» для следователей. Если биржа не исполнит международный судебный запрос, след часто обрывается на депозитном адресе. Использование BELQI особенно показательно. Это говорит об определенном уровне доверия к российской финансовой экосистеме, которая остается частым убежищем для вымогателей, действующих вне досягаемости западных правоохранительных органов.
Когда округ выплатил 1 миллион долларов, Kairos предоставила файл в качестве доказательства удаления. Этот файл содержал список имен файлов, которые, по утверждению злоумышленника, теперь стерты. В этом заключается архитектурный парадокс современного вымогательства. Жертва платит за действие, которое она никогда не сможет по-настоящему проверить. Список имен файлов доказывает лишь то, что злоумышленник когда-то имел доступ к данным. Он не дает никаких гарантий того, что преступник не сохранил копию или не продал данные другой группе до того, как произошло удаление.
Считать обещание вора квитанцией — опасная авантюра. В случае взлома данные уже скомпрометированы. Конфиденциальность из «Триады CIA» нарушается в тот момент, когда первый терабайт покидает сеть. Выплата выкупа — это реактивная мера, попытка выкупить репутацию, которая уже пострадала. Это акт веры, написанный преступником. Глядя на ландшафт угроз, можно сказать, что эти платежи часто финансируют следующий раунд атак, создавая цикл, целью которого становятся другие уязвимые государственные структуры.
Самое досадное в деле Kairos — это простота точки входа. Злоумышленник заявил, что проник в систему, угадав пароль. Это напоминание о том, что периметр сети — это устаревший ров вокруг замка, если ворота оставлены незапертыми. Сети небольших государственных учреждений часто страдают от устаревших систем и скудных ИТ-бюджетов, но решение этих проблем не всегда требует больших затрат. Они требуют перехода к более устойчивой модели безопасности.
Говоря проактивно, первая линия обороны — это человеческий файрвол. Однако даже самые обученные сотрудники не могут остановить атаку методом перебора (brute-force) на сервис, в котором отсутствует многофакторная аутентификация (MFA). Если злоумышленник может угадать пароль и получить доступ, система дала сбой на архитектурном уровне. Безопасность — это не продукт, который вы покупаете; это процесс, которому вы следуете. Для администрации округа этот процесс должен включать строгий контроль доступа и сегментацию конфиденциальных данных.
Отказ от ответственности: Данная статья носит исключительно информационный и образовательный характер. Она не заменяет профессиональный аудит кибербезопасности, криминалистическое расследование или услуги по реагированию на инциденты. Всегда консультируйтесь с юридическими и техническими специалистами при реагировании на реальный инцидент безопасности.



Наше решение для электронной почты и облачного хранения данных со сквозным шифрованием обеспечивает наиболее мощные средства безопасного обмена данными, гарантируя их сохранность и конфиденциальность.
/ Создать бесплатный аккаунт