Agencia del gobierno de EE. UU. paga 1 millón de dólares en extorsión por robo de datos

TL; DR
Según un estudio de caso de Ransom-ISAC basado en chats de discusión filtrados y análisis de blockchain, una agencia del gobierno de EE. UU. pagó al grupo de extorsión Kairos casi $1 millón para mantener en secreto los archivos robados. Las fuentes apuntan al condado de Union, Ohio, aunque ninguna de las partes lo ha confirmado. El caso ilustra hasta qué punto el "ransomware" actual no implica cifrado.
Según un estudio de caso realizado por Rakesh Krishnan, investigador de Ransom-ISAC, una agencia del gobierno estadounidense pagó casi un millón de dólares para dejar de publicar archivos robados. El análisis sigue a un chat de discusión filtrado y a los pagos de blockchain que quedaron atrás.
El grupo detrás del acuerdo se llama a sí mismo Kairos, pero puede que no sea una banda de ransomware en el sentido tradicional. Según se informa, Krishnan no encontró cifrado, ni casillero, ni solicitud de una clave de descifrado, solo archivos robados y un precio para mantenerlos en secreto.
El estudio de caso no nombra a la víctima, pero la muestra de evidencia de robo contiene nombres de archivos, incluido un archivo llamado union.rar, que apunta al condado de Union, Ohio. Ni el condado ni Kairos confirmaron la conexión, y The Hacker News dijo que se había comunicado con el condado para hacer comentarios.
Las fuentes no coinciden con un hecho real. En mayo de 2025, el condado de Union detectó ransomware en su red y luego notificó a 45,487 personas que se habían tomado datos, incluidos números de Seguro Social, huellas dactilares y detalles de pasaporte.
Reteniendo su identificación, un condado de unos 70.000 residentes realizó un pago de 1 millón de dólares que no fue revelado públicamente. El atacante supuestamente se apoyó principalmente en una carpeta marcada como "Fiscalía", advirtiendo que una filtración ayudaría a los delincuentes a evitar cargos.
Anatomía de un acuerdo de 1 millón de dólares
Según el estudio de caso, las negociaciones duraron aproximadamente un mes. Kairos abrió con un precio de 3 millones de dólares y afirma contener más de 2 TB de datos en casi 1,6 millones de archivos.
Según se informa, el condado contraatacó con $100,000 y subió poco a poco hasta $430,000, mientras que Kairos bajó a $2 millones antes de establecer una fecha límite final de $1 millón. La víctima pagó el 13 de junio de 2025 diez veces su oferta inicial.
Un pago de aproximadamente 9,44 bitcoins correspondía a alrededor de 1 millón de dólares en valor de mercado de esa semana. En cuestión de horas, se dividió y se dirigió a través de la cadena de billeteras a depósitos en ByBit, OKX y BelQui, un servicio ruso que recuerda el lavado de ransomware anterior a través de WEX y BTC-e.
Este rastreo proporciona a los investigadores pistas más que identidades. Los equipos criminales han pasado años perfeccionando la forma de lavar criptomonedas a través de mulas, mezcladores e intercambios poco regulados.
Otra cuestión es qué compró con el dinero. Kairos entregó un archivo de "prueba de eliminación", pero la lista de nombres de archivos demuestra que el atacante alguna vez tuvo los datos y que la promesa de eliminar los datos robados fue expuesta antes.
Ransomware sin ransomware
El condado de Union describió el incidente como ransomware, pero no se cifró nada en el caso de Kairos. Una proporción cada vez mayor de lo que todavía lleva esa etiqueta ahora evita los casilleros por completo y utiliza los datos robados como punto de presión, un manual que las recientes infracciones exclusivamente de extorsión también han dirigido al sector privado.
Sophos informa que casi la mitad de los ataques de ransomware implicarán cifrado en 2025, frente al 70% hace un año y la tasa más baja en seis años. Silent Ransom Group, una rama del ecosistema Conti, ha pasado años realizando extorsión sin cifrado contra firmas de abogados estadounidenses, generando alertas repetidas del FBI.
La negociación es muy familiar. Cuando se filtró el chat interno de Black Basta en febrero de 2025, un acuerdo pasó de una demanda de 1,5 millones de dólares a una contraprestación de 100.000 dólares y un pago de 1 millón de dólares, aproximadamente la misma curva.
Según el estudio de caso, el propio Kairos se ha quedado en silencio, con su sitio de filtración fuera de línea y su última víctima conocida publicada en junio de 2026. Según se informa, una billetera vinculada todavía estaba moviendo fondos en mayo, por lo que un sitio de filtración oscuro no debe leerse como un equipo retirado.
texto vulgar
Para las redes gubernamentales pequeñas, las conclusiones son deliberadamente aburridas. Kairos afirma que inicia sesión adivinando una contraseña, por lo que la autenticación multifactor y las advertencias sobre inicios de sesión fallidos repetidos aumentarán significativamente el costo de iniciar sesión.
Los defensores también deben estar atentos a las transferencias salientes y a los enlaces desechables para compartir archivos, como temp.sh que utilizan la dirección del atacante, y mantener los registros legales y civiles separados de la red en general. Después de todo, vale lo que le cuesta a un ladrón escribir un recibo por los datos eliminados.




