پرداخت یک میلیون دلاری یک نهاد دولتی آمریکا به گروه Kairos؛ اخاذی بدون رمزگذاری فایلها
یک گزارش جدید نشان میدهد یک نهاد دولتی آمریکا برای جلوگیری از انتشار اطلاعات سرقتشده، حدود یک میلیون دلار به گروه Kairos پرداخت کرده است؛ گروهی که برخلاف باجافزارهای سنتی، فایلها را رمزگذاری نمیکند.
بررسی یک مطالعه موردی جدید نشان میدهد یکی از نهادهای دولتی ایالات متحده برای جلوگیری از انتشار اطلاعات سرقتشده، حدود یک میلیون دلار به گروهی موسوم به Kairos پرداخت کرده است. این گزارش که توسط «راکش کریشنان» برای Ransom-ISAC تهیه شده، بر پایه گفتوگوهای افشاشده میان مهاجمان و قربانی و همچنین تحلیل تراکنشهای بلاکچین، تصویری متفاوت از شیوه فعالیت این گروه ارائه میدهد.
Kairos؛ گروهی که بدون رمزگذاری فایلها اخاذی میکند
اگرچه Kairos در برخی گزارشها بهعنوان یک گروه باجافزاری معرفی شده، اما بررسیهای انجامشده نشان میدهد این گروه احتمالاً از مدل رایج باجافزارها استفاده نمیکند. در این پرونده هیچ نشانهای از رمزگذاری فایلها، قفل شدن سامانهها یا ارائه کلید رمزگشایی مشاهده نشده است.
در عوض، مهاجمان ابتدا دادههای قربانی را سرقت کرده و سپس با تهدید به انتشار آنها، درخواست پرداخت پول میکنند. این روش که به «اخاذی مبتنی بر سرقت داده» معروف است، طی سالهای اخیر به یکی از روندهای روبهرشد جرایم سایبری تبدیل شده است.
سرنخها به شهرستان یونیون در اوهایو اشاره دارند
اگرچه هویت قربانی بهصورت رسمی اعلام نشده، اما اسناد منتشرشده حاوی فایلهایی با نامهایی مانند Union.xlsx و union.rar هستند که احتمال ارتباط این پرونده با شهرستان یونیون در ایالت اوهایو را تقویت میکنند.
در مذاکرات نیز قربانی خود را یک شهرستان کوچک با منابع مالی و فنی محدود معرفی کرده و مهاجمان روی اطلاعات مرتبط با دفتر دادستانی تمرکز ویژهای داشتهاند. آنها هشدار داده بودند انتشار این اسناد میتواند روند رسیدگی به پروندههای قضایی را مختل کرده و به مجرمان برای فرار از پیگرد قانونی کمک کند.
این جزئیات با حادثهای که در ماه مه ۲۰۲۵ برای شبکه رایانهای شهرستان یونیون رخ داد، همخوانی دارد. در آن حمله بیش از ۴۵ هزار نفر از شهروندان و کارکنان تحت تأثیر نشت اطلاعات قرار گرفتند و دادههایی مانند شماره تأمین اجتماعی، اطلاعات مالی، اثر انگشت و شماره گذرنامه آنها به سرقت رفت.
با این حال، تاکنون هیچیک از مسئولان شهرستان یونیون یا اعضای گروه Kairos این ارتباط را بهطور رسمی تأیید نکردهاند.
مذاکرات یکماهه و پرداخت نهایی یک میلیون دلار
بر اساس اسناد منتشرشده، مذاکرات میان دو طرف حدود یک ماه ادامه داشته است. Kairos در ابتدا سه میلیون دلار درخواست کرد و مدعی شد بیش از دو ترابایت داده شامل حدود ۱.۶ میلیون فایل را در اختیار دارد.
در مقابل، قربانی نخست تنها ۱۰۰ هزار دلار پیشنهاد داد و سپس این رقم را به ۲۵۵ هزار و بعد ۴۳۰ هزار دلار افزایش داد. در نهایت مهاجمان نیز مبلغ درخواستی خود را به یک میلیون دلار کاهش داده و اعلام کردند این آخرین پیشنهاد آنهاست.
سرانجام در ۱۳ ژوئن ۲۰۲۵، قربانی مبلغ موردنظر را که معادل حدود ۹.۴۴ بیتکوین بود پرداخت کرد؛ رقمی که تقریباً ۱۰ برابر پیشنهاد اولیه این نهاد دولتی محسوب میشد.
مسیر انتقال بیتکوینها قابل ردیابی بود
تحلیل تراکنشهای بلاکچین نشان میدهد تنها چند ساعت پس از دریافت وجه، بیتکوینها میان چندین کیف پول مختلف جابهجا شده و در نهایت به آدرسهایی مرتبط با صرافیهای ارز دیجیتال Bybit، OKX و همچنین یک سرویس روسی منتقل شدهاند.
البته چنین تحلیلهایی تنها مسیر انتقال دارایی را مشخص میکنند و الزاماً هویت واقعی افراد پشت این تراکنشها را آشکار نمیسازند.
پرداخت باج تضمینی برای حذف اطلاعات نیست
یکی از نکات مهم این پرونده، نبود هرگونه تضمین برای حذف دادههای سرقتشده است. Kairos پس از دریافت پول، فایلی با عنوان «مدرک حذف اطلاعات» برای قربانی ارسال کرد، اما بررسی آن نشان داد این فایل صرفاً شامل فهرستی از نام فایلهای سرقتشده بوده و هیچ مدرکی مبنی بر حذف نسخههای اصلی ارائه نمیکند.
این موضوع بار دیگر نشان میدهد پرداخت باج، تضمینی برای نابودی اطلاعات یا جلوگیری از سوءاستفادههای بعدی نیست و سازمانها همچنان باید احتمال انتشار یا فروش دادههای سرقتشده را در نظر بگیرند.
تغییر تاکتیک مجرمان سایبری
این پرونده نمونهای از تغییر الگوی حملات باجگیری سایبری است. برخلاف گذشته که رمزگذاری فایلها بخش اصلی حملات باجافزاری بود، بسیاری از گروههای امروزی تنها با سرقت اطلاعات و تهدید به انتشار آنها اقدام به اخاذی میکنند.
گزارش سال ۲۰۲۵ شرکت امنیت سایبری Sophos نیز نشان میدهد تنها حدود نیمی از حملات باجافزاری همچنان شامل رمزگذاری فایلها هستند که پایینترین میزان طی شش سال اخیر محسوب میشود. برخی گروههای شناختهشده نیز رمزگذاری را بهطور کامل کنار گذاشته و صرفاً بر سرقت اطلاعات و اخاذی تمرکز کردهاند.
جمعبندی
پرونده Kairos نشان میدهد تهدیدهای سایبری دیگر صرفاً به قفل شدن فایلها محدود نیستند. امروزه سرقت اطلاعات و تهدید به انتشار آنها به یکی از مؤثرترین ابزارهای اخاذی تبدیل شده است. این گزارش همچنین بر اهمیت استفاده از احراز هویت چندمرحلهای، پایش فعالیتهای مشکوک، تفکیک اطلاعات حساس و داشتن برنامه مدیریت بحران تأکید میکند. مهمتر از همه اینکه پرداخت باج، حتی اگر به انتشار اطلاعات پایان دهد، هیچ تضمینی برای حذف دائمی دادههای سرقتشده ایجاد نخواهد کرد.