В США власти заплатили кибервымогателям дань в $1 млн

В США власти заплатили кибервымогателям дань в  млн

Вымогатели, атаковавшие округ Юнион в штате Огайо, даже не использовали шифровальщик. Они просто выкрали большой объём персональных данных и потребовали выкуп.

Миллион как последний рубеж

Одно из американских госучреждений выплатило миллион долларов кибервымогательской группировки Kairos. Исследование инцидента для сайта ransom-isac.org провёл блоггер и журналист Ракеш Кришнан (Rakesh Krishnan) при участии нескольких коллег.

Ransom-ISAC (Центр обмена и анализа информации о программах-вымогателях) — это общественная инициатива, направленная на глобальную борьбу с программами-вымогателями. Её основная задача — организовывать обмен информацией между всеми, кто противостоит кибервымогательству.

В своей публикации Кришнан прямо не называет, о каком ведомстве идёт речь, однако публикует расшифровку переговоров, где в нескольких местах фигурирует наименование Union, а пострадавшая сторона называет себя «небольшим округом с ограниченными ресурсами». Из чего следует, что скорее всего речь идёт об округе Юнион в штате Огайо, который в прошлом году признал, что стал объектом кибератаки с использованием вымогательского ПО.

Хакеры применяют новые услуги: осуществление шантажа компаний-жертв и масштабирование киберинцидента

Позднее уведомления о краже данных получили 45,5 тысяч человек — две трети жителей округа Юнион. Информация включала номера полисов социального страхования, финансовые данные, отпечатки пальцев и номера внутренних паспортов.

В общей сложности злоумышленники утверждали, что им удалось вывести из систем Юниона не менее 1,6 млн файлов общим объёмом более двух терабайт. За всё это они требовали изначально три миллиона.

Администрация округа сперва заявила, что не может выплатить больше 100 тысяч, но по мере переговоров, которые длились, судя по транскриптам, около месяца, стороны сошлись на одном миллионе долларов.

Денежный след

13 июня 2025 года пострадавшая сторона выплатила вымогателям 9,44 биткоина, что по тогдашнему курсу составляло миллион долларов.

В течение последующих нескольких часов вся эта сумма была разделена на два потока и проведена через ряд кошельков на депозиты, связанные криптовалютными биржами Bybit, OKX и BELQI (последний относится к России).

Злоумышленники прислали в ответ файл под названием «доказательство удаления», но в нём лишь были перечислены файлы, находившиеся в распоряжении злоумышленников. Никаких других доказательств, что чувствительные данные были удалены, вымогатели не представили.

К настоящему моменту ни администрация округа Юнион, ни представители Kairos не подтвердили, что речь идёт именно о прошлогоднем инциденте, но всё указывает именно в этом направлении.

Из всего, что известно на данный момент, следует, что Kairos не использовали какой бы то ни было шифровальщик: они просто вывели файлы, возможно, с помощью какого-то промежуточного ПО и начали давить на пострадавшую сторону обычными для вымогателей средствами — угрозами слить самые важные данные, демонстрацией обратного отсчёта времени и так далее.

Исследователь пишет, что для вымогателей английский язык явно не родной: грамматические конструкции характерны скорее для восточно-европейских языков.

Издание The Hacker News отмечает высокую степень сходства данной атаки с методами различных ответвлений шифровальной группировки Conti, в том числе Silent Ransom Group (которая также не использует никаких шифровальщиков, только крадёт данные) и Black Basta.

В феврале 2025 года в Сеть были слиты внутренние логи Black Basta, в которых содержалась, в том числе, история переговоров о выплате миллиона долларов с другой жертвой вымогательства.

Kairos, кем бы они ни были, после получения выплаты залегли на дно, отключив свой сайт утечек в интернете. Однако, как пишут The Hacker News, в криптокошельке вымогателей по-прежнему наблюдается движение средств.

«Вполне вероятно, что Kairos — «однодневка», созданная специально для одной-единственной операции, — предполагает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Само название намекает на это: Kairos с древнегреческого переводится примерно как «мгновение» или «критический момент»».

Эксперт добавил, что выбор цели не был случайным: правительственные организации работают с данными критической важности, однако уровень защищённости их сетей нередко оказывается удручающе низким.

Добавить комментарий

Кнопка «Наверх»