在一个宁静的周二晚上,我通过安全的 Signal 频道查阅了一系列由消息人士提供的泄露谈判日志。看着一名公职人员意识到他们的年度预算即将消失在一个去中心化的加密钱包中,这是一种特殊的恐惧。这些日志由 Ransom-ISAC 的 Rakesh Krishnan 分析,详细记录了一个自称 Kairos 的组织与一个似乎是俄亥俄州联合县(Union County)的美国政府实体之间为期一个月的高风险博弈。封口费的最终价格约为 100 万美元。
此次入侵遵循一系列有条不紊的事件链,始于一个简单的失误。攻击者声称他们通过猜测密码进入了网络。没有零日漏洞利用,也没有复杂的社会工程学。进入内部后,入侵者绕过了传统防御,因为他们并不想破坏东西,而是想拿走东西。从风险角度来看,这一事件标志着现代勒索者运作方式的转变。他们意识到,加密整个网络所需的努力通常是不必要的。被盗数据是一种有毒资产,泄露数据的威胁提供了犯罪分子所需的所有筹码。
交易发生在 2025 年 6 月 13 日。一笔 9.44 枚比特币的款项从受害者转移到由 Kairos 控制的钱包。当时,这笔金额价值约 100 万美元。虽然该县在 2025 年 5 月公开承认遭到了勒索软件攻击,但这笔巨额支付的细节一直被隐藏,直到研究人员通过泄露的聊天记录和区块链记录重构了时间线。聊天中的受害者自称是一个资源有限的小县,这一描述与拥有约 7 万居民的联合县的概况相符。
面临风险的数据量巨大。Kairos 声称拥有超过 2 TB 的信息,包括 160 万个独立文件。其中包括来自当地检察官办公室的文件。攻击者了解这个特定文件夹的价值。他们警告受害者,泄露这些记录将为犯罪分子提供逃避指控所需的信息。在幕后,压力起到了作用。该县的谈判起价为 10 万美元,最终将报价提高到该金额的十倍,以防止公共数据泄露。
Kairos 是日益增长的完全放弃加密的威胁行为者趋势的一部分。在传统的勒索软件攻击中,犯罪分子锁定受害者的文件并出售解密密钥。Kairos 跳过了这一步。他们的行为更像是一个数字窃贼,偷走了家族珠宝,然后提议将其卖回给原主以换取费用。受害者的系统保持运行,但他们的声誉和 45,487 名居民的隐私受到了威胁。
Sophos 在 2025 年报告称,只有约一半的勒索软件攻击仍涉及加密。这是六年来的最低比例。像 Silent Ransom Group 和 Kairos 这样的组织已经意识到,数据窃取勒索比响亮的、全网络范围的加密事件更安静,且通常更难检测。根据设计,这些攻击避开了许多寻找加密器快速文件修改特征的传统杀毒工具的监视。因此,窃贼可以在网络中潜伏数周,通过 temp.sh 等临时文件共享链接缓慢外传数据,而不会触发任何警报。
一旦 9.44 枚比特币进入 Kairos 钱包,洗钱过程立即开始。我多年来一直在区块链上追踪恶意行为者,这笔钱的路径是熟悉的。在支付后的几小时内,资金被拆分到多个新地址。这是在到达退出点之前掩盖代币来源的常用策略。资金最终流向了 Bybit 和 OKX 的存款地址,以及一个名为 BELQI 的俄罗斯服务。
这些加密交易所是数字资产变为可用现金的终点。虽然区块链提供了每一步操作的公共账本,但这些交易所往往成为调查人员的“战争迷雾”。除非交易所遵守国际传票,否则线索通常会在存款地址中断。使用 BELQI 特别说明问题。这表明他们对俄罗斯金融生态系统感到放心,该系统仍然是西方执法部门无法触及的勒索者的避风港。
当该县支付了 100 万美元时,Kairos 提供了一个文件作为删除证明。该文件包含了一份攻击者声称现已删除的文件名列表。这是现代勒索的架构悖论。受害者为一项他们永远无法真正核实的行动付费。文件名列表只能证明攻击者曾经访问过数据。它不能保证攻击者没有保留副本或在删除发生前将数据卖给另一个组织。
将小偷的承诺视为收据是一场危险的赌博。一旦发生泄露,数据就已经被破坏了。当第一个 TB 的数据离开网络时,CIA 三要素的机密性就被打破了。支付赎金是一种被动措施,试图赎回已经受损的声誉。这是由犯罪分子书写的信仰之举。观察威胁格局,这些支付往往资助了下一轮攻击,形成了一个针对其他脆弱政府实体的循环。
Kairos 案例中最令人沮丧的部分是切入点的简单性。攻击者声称他们通过猜测密码进入。这是一个提醒,如果大门没有上锁,网络周界就是一个过时的护城河。小型政府网络经常受困于遗留系统和稀薄的 IT 预算,但这些问题的解决方案并不总是昂贵的。它们需要转向更具弹性的安全态势。
从主动预防的角度来说,第一道防线是人为防火墙。然而,即使是训练有素的员工也无法阻止对缺乏多因素身份验证 (MFA) 的服务的暴力破解攻击。如果攻击者可以猜测密码并获得访问权限,那么系统在架构层面就已经失败了。安全不是你购买的产品;它是你遵循的过程。对于县政府来说,该过程必须包括严格的访问控制和敏感数据的分段。
免责声明:本文仅供信息参考和教育目的。它不能替代专业的网络安全审计、取证调查或事件响应服务。在应对实时安全事件时,请务必咨询法律和技术专业人士。


