勒索最新趋势:不加密只盗窃 一家美国政府机构支付了100万美元赎金
本文关键看点:
1、谈判持续了大约一个月。该政府机构谈判的赎金金额从10万美元逐渐攀升,最终至100万美元(9.44比特币)。
2、勒索组织自称Kairos,但调查人员怀疑它是真正的勒索软件组织。因为勒索过程即没有加密文件,也没有加密工具和解密密钥。就是偷走偷文件,然后威胁公开。
3、Sophos2025年的报告显示,只有约一半的勒索软件攻击仍涉及加密。有些组织甚至完全放弃了这个功能。如Silent Ransom Group是Conti的一个分支,多年来一直对美国法律和金融公司进行纯粹的数据盗窃勒索,没有使用任何的加密工具。
一个美国政府实体支付了约100万美元,以防止被盗文件被公开,这是根据Ransom-ISAC的一份新案例研究,该研究基于一份泄露的谈判聊天记录和支付留下的区块链轨迹。

奇怪的是:这个收钱的组织自称为Kairos,但它可能根本不是一个勒索软件集团。研究者没有发现它锁定过任何一台机器的迹象:没有加密器,没有锁定器,也没有要求提供解密密钥。威胁更简单——偷走文件,然后收取受害者的钱以换取不公开它们。
研究者没有透露受害者的名称,但聊天记录指向俄亥俄州联合县(Union County)。被盗证明文件包含诸如Union.xlsx、1 union co psi template.doc这样的文件名,最后一个档案叫union.rar。受害者自称是一个资源有限的小县。攻击者特别针对了一个标记为"检察官办公室"的文件夹,警告说泄露它将帮助犯罪分子逃避指控。
这些线索与一个真实案件相符。2025年5月,俄亥俄州联合县表示在其网络上发现了勒索软件,后来通知了45,487名居民和员工他们的数据已被窃取,影响了这个约70,000人的县的大部分人。被盗记录涉及社会安全号、财务详情、指纹和护照号码。
该县和Kairos都没有证实之间的联系。但如果属实,这个县政府支付了约100万美元——而它从未公开披露过。The Hacker News已联系联合县专员的办公室征求意见。如有回复,故事将更新。
谈判持续了大约一个月。Kairos开价300万美元,声称掌握超过2TB数据、约160万个文件。该县从10万美元开始,涨到25.5万美元,再涨到43万美元。Kairos降到200万美元,然后设了一个硬性最终数字:100万美元,周五前支付,否则文件公开。

它使用了通常的手段:倒计时、紧迫的截止日期,以及威胁首先公开最敏感的文件夹。该县于2025年6月13日支付,是其最初报价的10倍。
这笔付款大约是9.44枚比特币,当时价值约100万美元。研究者从那里追踪了这笔钱的去向。几小时内,钱被分成两份,通过一系列钱包推向了与加密货币交易所Bybit、OKX和一个名为BELQI的俄罗斯服务相关的存款地址。
这种追踪给了调查人员线索,但不是名字。而这笔钱什么也没买到。Kairos发来了一份"删除证明"文件,但文件名列表只显示攻击者曾经拥有这些文件,而不是原件已被擦除。付钱让被盗数据消失是一种信任行为,而收据是小偷写的。

联合县将其遭遇称为勒索软件——这是每个人都会用的词——但在Kairos的案例中,没有任何东西被锁定。这就是真正的转变:许多现在仍被称为勒索软件的攻击跳过了加密,直接用被盗数据本身作为施压点。
Sophos在2025年报告中,只有约一半的勒索软件攻击仍涉及加密,是六年来的最低水平。有些团伙已经完全放弃了加密。Silent Ransom Group是Conti的一个分支,多年来一直对美国法律和金融公司进行纯粹的数据盗窃勒索,根本不使用加密器。
Kairos的聊天记录也符合一种熟悉的谈判模式。当Black Basta的内部聊天记录在2025年2月泄露时,对消息的分析发现了一笔从150万美元需求到10万美元还价再到100万美元付款的交易,几乎是同样的弧线。这些聊天记录,以及2022年之前的Conti泄露记录,是研究者现在重建这些交易如何达成的依据。
Kairos本身已经沉寂下来。泄露网站已下线,其最后一个已知受害者出现在2026年6月。但与该行动相关的一个钱包在2026年5月仍在转移资金,提醒我们一个黑暗的泄露网站并不等于一个死掉的团伙。
对于任何运营小型政府网络的人来说,教训是枯燥而熟悉的——这正是重点所在。启用多因素身份验证,因为Kairos声称它只是猜到了一个密码就进去了。监控重复的失败登录、大型出站数据传输,以及Kairos用来转移文件的temp.sh等一次性文件分享链接。将法律、人力资源和公民记录与网络其他部分隔开。在你需要之前准备好公开声明计划。并且,不要相信任何承诺删除被盗数据的空头支票。
