Jeszcze kilka lat temu ataki ransomware kojarzyły się głównie z blokowaniem komputerów i żądaniem okupu za przywrócenie dostępu do plików. Dziś cyberprzestępcy coraz częściej rezygnują z szyfrowania danych i stawiają na prostszy, a jednocześnie bardzo skuteczny scenariusz. Wystarczy wykraść poufne informacje i zagrozić ich publikacją.
Tak właśnie wyglądał jeden z najgłośniejszych incydentów ostatnich miesięcy w Stanach Zjednoczonych. Według ustaleń badaczy zajmujących się analizą ataków ransomware amerykańska jednostka administracji publicznej przekazała cyberprzestępcom okup o wartości miliona dolarów. Wszystko wskazuje na to, że ofiarą było hrabstwo Union w stanie Ohio.
Milion dolarów za milczenie
Sprawę opisał badacz bezpieczeństwa Rakesh Krishnan wraz ze współpracownikami na platformie Ransom-ISAC, zajmującej się wymianą informacji o zagrożeniach związanych z ransomware.
Autorzy nie wskazali wprost nazwy instytucji, jednak opublikowane fragmenty negocjacji zawierają liczne odniesienia do „Union”, a przedstawiciel ofiary określa swoją organizację jako niewielkie hrabstwo dysponujące ograniczonym budżetem. Wszystkie te informacje prowadzą do hrabstwa Union w stanie Ohio, które wcześniej informowało o poważnym incydencie bezpieczeństwa.
Po zakończeniu śledztwa mieszkańcy otrzymali zawiadomienia o naruszeniu ochrony danych. Łącznie dotyczyło ono około 45,5 tys. osób, czyli znacznej części lokalnej społeczności.
Hakerzy nie użyli ransomware
Najbardziej zaskakującym elementem całego ataku jest sposób działania cyberprzestępców. Grupa określająca się jako Kairos nie zablokowała działania komputerów i nie szyfrowała plików. Zamiast tego miała skupić się wyłącznie na wykradzeniu danych z systemów urzędu.
Według deklaracji napastników z infrastruktury ofiary skopiowano około 1,6 mln plików o łącznej wielkości przekraczającej dwa terabajty. Wśród przejętych informacji miały znaleźć się numery ubezpieczenia społecznego, dane finansowe mieszkańców, numery dokumentów tożsamości oraz odciski palców. Po zakończeniu kradzieży rozpoczęły się negocjacje.
Negocjacje trwały około miesiąca
Początkowo cyberprzestępcy zażądali trzech milionów dolarów za nieujawnianie wykradzionych danych. Przedstawiciele urzędu mieli odpowiedzieć, że są w stanie zapłacić maksymalnie 100 tys. dolarów. Z opublikowanych zapisów rozmów wynika jednak, że negocjacje trwały przez blisko miesiąc i zakończyły się zawarciem porozumienia.
13 czerwca 2025 roku na wskazany portfel kryptowalutowy trafiło 9,44 bitcoina. W tamtym momencie odpowiadało to kwocie około miliona dolarów.
Pieniądze szybko zniknęły
Analiza blockchaina pokazuje, że niemal natychmiast po otrzymaniu okupu środki zostały podzielone na kilka transakcji i przesłane przez kolejne portfele. Ostatecznie część pieniędzy trafiła na adresy powiązane z giełdami kryptowalut Bybit, OKX oraz BELQI.
Po zaksięgowaniu płatności grupa Kairos przekazała plik nazwany „dowodem usunięcia danych”. Jak ustalili badacze, dokument nie zawierał żadnych technicznych potwierdzeń zniszczenia skradzionych informacji. Była to jedynie lista plików, które znajdowały się w posiadaniu cyberprzestępców. Nie istnieją więc dowody potwierdzające, że dane rzeczywiście zostały usunięte.
Nowa taktyka cyberprzestępców
Eksperci zwracają uwagę, że podobny model działania pojawia się coraz częściej.
Zamiast ryzykować wykrycie podczas szyfrowania infrastruktury ofiary, grupy przestępcze koncentrują się na szybkim wykradzeniu danych i wykorzystują presję psychologiczną. Publikują odliczanie do ujawnienia dokumentów, grożą ich sprzedażą lub udostępnieniem w internecie i próbują zmusić organizacje do zapłaty.
Według serwisu The Hacker News sposób działania Kairos przypomina metody stosowane wcześniej przez grupy wywodzące się z ekosystemu Conti, w tym Silent Ransom Group oraz Black Basta. Te organizacje również wielokrotnie rezygnowały z klasycznego szyfrowania danych, skupiając się wyłącznie na wymuszeniach związanych z wyciekiem informacji.
Badacze zauważyli również, że język używany podczas negocjacji wskazuje, iż angielski prawdopodobnie nie był ojczystym językiem członków grupy. Konstrukcje zdań mają przypominać charakterystyczne cechy języków Europy Wschodniej.
Kairos zniknął zaraz po otrzymaniu pieniędzy
Po zakończeniu operacji grupa Kairos zamknęła swoją stronę internetową służącą do publikowania wykradzionych danych i praktycznie zniknęła z sieci. Eksperci nie wykluczają, że była to jednorazowa operacja przygotowana wyłącznie na potrzeby jednego ataku.
Mimo to ślady pozostawione w blockchainie pokazują, że portfele powiązane z cyberprzestępcami nadal pozostają aktywne.
Zdaniem specjalistów administracja publiczna pozostaje jednym z najatrakcyjniejszych celów dla grup zajmujących się wymuszeniami. Urzędy przechowują ogromne ilości wrażliwych danych obywateli, a jednocześnie często korzystają z infrastruktury, która nie nadąża za współczesnymi zagrożeniami. W efekcie nawet atak pozbawiony klasycznego ransomware może zakończyć się wypłatą wielomilionowego okupu.
Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:
Amerykański urząd zapłacił hakerom milion dolarów. Cyberprzestępcy nawet nie zaszyfrowali danych