Cơ quan chính phủ Mỹ chi 1 triệu USD cho nhóm Kairos trong vụ tống tiền dữ liệu

Một cơ quan chính phủ Mỹ đã trả khoảng 1 triệu USD để ngăn chặn việc rò rỉ các tập tin bị đánh cắp, theo một nghiên cứu điển hình của Rakesh Krishnan cho Ransom-ISAC. Nhóm tấn công tự gọi mình là Kairos, thực hiện tống tiền mà không hề sử dụng phần mềm mã hóa (ransomware), thay vào đó chúng chỉ đánh cắp dữ liệu và yêu cầu tiền chuộc để không công khai chúng.
Vụ tấn công mạng chính phủ
Một cơ quan chính phủ Mỹ đã phải chi số tiền lớn để bảo vệ dữ liệu

Một cơ quan chính phủ Hoa Kỳ đã trả khoảng 1 triệu USD để ngăn các tập tin bị đánh cắp bị rò rỉ, theo một nghiên cứu điển hình mới của Rakesh Krishnan thực hiện cho Ransom-ISAC, dựa trên các đoạn chat thương lượng bị rò rỉ và dấu vết blockchain mà khoản thanh toán để lại.

Kairos: Tống tiền không cần mã hóa

Điều kỳ lạ là: nhóm nhận tiền tự gọi mình là Kairos, nhưng nó có thể hoàn toàn không phải là một băng đảng ransomware. Krishnan không tìm thấy dấu hiệu nào cho thấy chúng từng khóa bất kỳ máy tính nào: không có trình mã hóa (encryptor), không có trình khóa (locker), cũng không có yêu cầu cung cấp decryption key. Mối đe dọa đơn giản hơn nhiều: Đánh cắp các tập tin, sau đó thu phí nạn nhân để không công khai chúng.

Krishnan không nêu tên nạn nhân, nhưng đoạn chat chỉ ra đó là Union County, Ohio. Các tệp tin bằng chứng về vụ trộm có tên như Union.xlsx, 1 union co psi template.doc, và một bản lưu trữ cuối cùng có tên union.rar. Nạn nhân tự nhận mình là một quận nhỏ với nguồn lực hạn chế. Kẻ tấn công tập trung vào một thư mục cụ thể có nhãn "prosecutors office" (văn phòng công tố), cảnh báo rằng việc rò rỉ nó sẽ giúp tội phạm trốn tội.

Dấu vết thực tế tại Union County

Các manh mối khớp với một vụ việc có thật. Vào tháng 5 năm 2025, Union County, Ohio, cho biết họ đã phát hiện ransomware trên mạng của mình và sau đó đã thông báo cho 45.487 cư dân và nhân viên rằng dữ liệu của họ đã bị lấy đi, ảnh hưởng đến phần lớn cư dân trong quận với dân số khoảng 70.000 người. Các hồ sơ bị đánh cắp bao gồm số Social Security, chi tiết tài chính cho đến dấu vân tay và số hộ chiếu.

Cả chính quyền quận và Kairos đều không xác nhận mối liên hệ này. Nhưng nếu điều đó là đúng, một chính quyền quận đã trả khoảng 1 triệu USD mà chưa bao giờ công khai tiết lộ. Hacker News đã liên hệ với Văn phòng Ủy viên Union County để xin bình luận. Câu chuyện này sẽ được cập nhật khi có phản hồi.

Quá trình thương lượng căng thẳng

Cuộc thương lượng kéo dài khoảng một tháng. Kairos bắt đầu với mức giá 3 triệu USD và tuyên bố nắm giữ hơn 2 terabytes dữ liệu, khoảng 1,6 triệu tập tin. Phía quận bắt đầu ở mức 100.000 USD, tăng dần lên 255.000 USD, rồi 430.000 USD. Kairos giảm xuống còn 2 triệu USD, sau đó đưa ra con số cuối cùng cứng rắn: 1 triệu USD, thanh toán trước thứ Sáu, nếu không dữ liệu sẽ bị công khai.

Thanh toán Bitcoin
Thanh toán on-chain: khoảng 9,44 BTC đã được chuyển vào ví liên kết với Kairos.

Chúng đã sử dụng các đòn bẩy thông thường: đồng hồ đếm ngược, thời hạn chặt chẽ và đe dọa sẽ tung các thư mục nhạy cảm nhất lên trước. Quận đã thanh toán vào ngày 13 tháng 6 năm 2025, gấp mười lần mức đề nghị ban đầu.

Khoản thanh toán trị giá khoảng 9,44 Bitcoin, tương đương khoảng 1 triệu USD vào thời điểm đó. Krishnan đã lần theo dấu vết dòng tiền từ đó. Chỉ trong vài giờ, nó đã được chia làm hai và đẩy qua một chuỗi các ví hướng tới các địa chỉ tiền gửi liên kết với các sàn giao dịch tiền điện tử Bybit, OKX và một dịch vụ của Nga có tên là BELQI.

Kiểu truy vết đó mang lại manh mối cho các nhà điều tra chứ không phải tên tuổi cụ thể. Và số tiền đó không mua được điều gì chắc chắn. Kairos đã gửi một tệp "bằng chứng xóa" (proof of deletion), nhưng danh sách tên tệp chỉ cho thấy kẻ tấn công từng sở hữu chúng, chứ không phải bản gốc đã bị xóa. Trả tiền để làm biến mất dữ liệu bị đánh cắp là một hành động dựa trên niềm tin, và biên lai lại do chính kẻ trộm viết ra.
Sự thay đổi của Ransomware
Nhiều vụ tấn công hiện nay bỏ qua bước mã hóa để tập trung vào tống tiền dữ liệu.

Sự chuyển dịch của tội phạm mạng

Union County gọi những gì đã xảy ra với họ là ransomware, thuật ngữ mà mọi người thường dùng, nhưng trong trường hợp của Kairos, không có gì bị khóa cả. Đó là sự thay đổi thực sự: phần lớn những gì vẫn được gọi là ransomware hiện nay đã bỏ qua việc mã hóa và sử dụng chính dữ liệu bị đánh cắp làm điểm gây áp lực.

Sophos báo cáo vào năm 2025 rằng chỉ khoảng một nửa số vụ tấn công ransomware còn liên quan đến việc mã hóa, tỷ lệ thấp nhất trong sáu năm. Một số nhóm đã bỏ hoàn toàn bước này. Silent Ransom Group, một nhánh của Conti, đã dành nhiều năm thực hiện các vụ tống tiền trộm cắp dữ liệu thuần túy chống lại các công ty luật và tài chính của Hoa Kỳ mà không cần bất kỳ trình mã hóa nào.

Đoạn chat của Kairos cũng khớp với một mô hình thương lượng quen thuộc. Khi các cuộc trò chuyện nội bộ của Black Basta bị rò rỉ vào tháng 2 năm 2025, phân tích cho thấy một thỏa thuận bắt đầu từ yêu cầu 1,5 triệu USD xuống còn 100.000 USD phản hồi và cuối cùng là thanh toán 1 triệu USD, gần như cùng một kịch bản. Những cuộc trò chuyện đó, và các vụ rò rỉ của Conti trước đó vào năm 2022, là cách các nhà nghiên cứu tái cấu trúc cách thức các cuộc mặc cả này thực sự diễn ra.

Bản thân Kairos hiện đã im hơi lặng tiếng. Trang web rò rỉ đã ngoại tuyến và nạn nhân cuối cùng được biết đến đã xuất hiện vào tháng 6 năm 2026. Nhưng một chiếc ví liên kết với hoạt động này vẫn di chuyển tiền gần đây nhất là vào tháng 5 năm 2026, một lời nhắc nhở rằng một trang web rò rỉ ngừng hoạt động không có nghĩa là nhóm tội phạm đã chết.

Bài học cho các quản trị mạng

Đối với bất kỳ ai điều hành một mạng lưới chính phủ nhỏ, các bài học đều cũ kỹ nhưng vẫn rất quan trọng. Hãy bật multi-factor authentication, vì Kairos tuyên bố chúng xâm nhập đơn giản bằng cách đoán mật khẩu.

  • Theo dõi các lần đăng nhập thất bại lặp đi lặp lại.
  • Giám sát các vụ chuyển dữ liệu ra ngoài với dung lượng lớn.
  • Cảnh giác với các liên kết chia sẻ tệp tạm thời như địa chỉ temp.sh mà Kairos đã sử dụng.
  • Cách ly hồ sơ pháp lý, nhân sự và công dân khỏi phần còn lại của mạng lưới.
  • Lập kế hoạch phát ngôn công chúng sẵn sàng trước khi cần đến.
  • Và hãy coi bất kỳ lời hứa xóa dữ liệu bị đánh cắp nào là hoàn toàn vô giá trị.