Un'entità governativa statunitense ha trasferito circa 1 milione di dollari in bitcoin al gruppo Kairos il 13 giugno 2025, nell'ambito di una negoziazione durata circa un mese. Il pagamento non ha riguardato la restituzione di file cifrati: Kairos non ha mai distribuito un encryptor. L'obiettivo era impedire la pubblicazione di oltre 2 terabyte di dati rubati, in un caso che documenta la transizione definitiva verso la data-theft extortion pura. La vicenda è stata ricostruita da Rakesh Krishnan per Ransom-ISAC a partire da chat di negoziazione leaked e dalla traccia blockchain lasciata dal trasferimento.
- Un'entità governativa statunitense ha pagato circa 9,44 BTC, equivalenti a circa 1 milione di dollari, al gruppo Kairos il 13 giugno 2025 per bloccare la pubblicazione di dati esfiltrati
- Kairos non ha impiegato alcun encryptor, locker o meccanismo di cifratura: l'estorsione si è basata esclusivamente sulla minaccia di divulgazione dei file rubati
- La vittima probabile è Union County, Ohio, identificata attraverso nomi di file nella prova di furto che corrispondono alla notifica pubblica di data breach del maggio 2025
- Il pagamento è stato tracciato on-chain fino a indirizzi collegati agli exchange Bybit, OKX e al servizio russo BELQI, ma la destinazione finale dei fondi non è verificabile
La negoziazione: da 3 milioni a 1, con escalation decimale
Kairos ha aperto la negoziazione con una richiesta di 3 milioni di dollari. L'entità governativa ha risposto con un'offerta di 100.000 dollari, poi salita a 255.000, quindi a 430.000. Il gruppo è sceso a 2 milioni, infine ha fissato il prezzo finale a 1 milione di dollari, esattamente dieci volte l'offerta iniziale. La negoziazione si è protratta per circa un mese, con Kairos che esercitava pressione attraverso countdown temporizzati e minacce selettive relative a dati ritenuti sensibili, in particolare quelli contenuti in una cartella denominata "prosecutors office".
Kairos ha affermato di detenere oltre 2 terabyte di dati, corrispondenti a circa 1,6 milioni di file. L'accesso iniziale, secondo quanto dichiarato dal gruppo stesso nelle chat, è avvenuto "semplicemente indovinando una password". Questo dettaglio, se confermato, posiziona l'incidente in una categoria di attacchi che non richiede exploit zero-day o catene di vulnerabilità complesse, ma sfrutta credenziali deboli o non adeguatamente protette.
"Paying to make stolen data disappear is an act of faith, and the receipt is written by the thief."
Union County, Ohio: la vittima probabile ma non confermata
I file mostrati da Kairos come prova di possesso dei dati includono nomi come Union.xlsx, union co psi template.doc e union.rar, oltre a riferimenti a "prosecutors office". Questi elementi puntano a Union County, Ohio, che nel maggio 2025 ha notificato 45.487 residenti e membri dello staff di un data breach. La notifica pubblica includeva dati sensibili come SSN, dettagli finanziari, impronte digitali e numeri di passaporto. La popolazione totale stimata della contea è di circa 70.000 abitanti: la notifica ha interessato una quota significativa della comunità locale.
Né Union County né Kairos hanno confermato il collegamento tra il pagamento del giugno 2025 e l'entità governativa coinvolta nella negoziazione. Il case study di Ransom-ISAC si basa su correlazioni induttive, non su dichiarazioni ufficiali. Questo limite è rilevante per la lettura: il pagamento è documentato blockchain, ma l'identificazione della vittima rimane probabile, non certa.
Il tracciamento blockchain: verso exchange e servizi russi
Il trasferimento di circa 9,44 BTC è stato suddiviso in due parti e instradato verso indirizzi di deposito collegati agli exchange Bybit, OKX e al servizio russo BELQI. Questi nodi rappresentano punti di passaggio nel circuito di riciclaggio, non la destinazione finale dei fondi. Il wallet collegato all'operazione ha mostrato movimenti fino al maggio 2026, undici mesi dopo il pagamento, indicando che l'infrastruttura finanziaria del gruppo è rimasta attiva anche se il sito di leak di Kairos è risultato offline.
L'ultima vittima nota del gruppo risale al giugno 2026. Questo dato cronologico, combinato con l'attività del wallet, suggerisce che Kairos ha proseguito le operazioni oltre l'incidente documentato, anche se con modalità e volumi non ricostruibili dal dossier disponibile.
La "proof of deletion" come atto di fede
Dopo il pagamento, Kairos ha fornito un file denominato "proof of deletion", contenente un elenco di nomi file. Questo documento non prova l'effettiva cancellazione dei dati originali: dimostra solo che l'attaccante aveva accesso ai file al momento della negoziazione. I dati esfiltrati possono essere stati duplicati, archiviati in più location o rivenduti a terzi indipendentemente dalla fornitura della prova. La fonte non documenta misure tecniche di verifica post-pagamento da parte della vittima.
Il caso Kairos si inserisce in un trend più ampio: secondo dati riportati da The Hacker News, circa il 50% degli attacchi ransomware nel 2025 includeva ancora un componente di cifratura, il tasso più basso degli ultimi sei anni. La transizione verso la data-theft extortion pura elimina un vettore di rilevamento tradizionale: l'assenza di un encryptor significa assenza di indicatori di compromissione legati alla cifratura massiva, che tipicamente attivano allarmi nei sistemi di monitoraggio endpoint.
Perché è importante
Il caso documenta un limite strutturale nelle difese attuali: la data-theft extortion pura non produce artefatti tecnici rilevabili con gli strumenti standard antiransomware. L'esfiltrazione di 2 terabyte senza cifratura lascia tracce di rete, ma non il pattern di accesso anomalo sui file che tipicamente genera blocchi crittografici rilevabili.
Il brief non specifica se la vittima avesse implementato controlli di Data Loss Prevention, monitoraggio di volumi di trasferimento o segmentazione della rete. Non documenta inoltre se l'entità governativa abbia avviato procedure post-incident o se esistano policy federali o statali che regolino i pagamenti estorsivi da parte di amministrazioni pubbliche. Il dossier non riporta misure correttive specifiche adottate dopo il pagamento.
La fonte non specifica la natura completa dei dati esfiltrati oltre ai riferimenti alla cartella "prosecutors office" e alle categorie generali indicate nella notifica di breach. Non emerge inoltre se i dati siano stati effettivamente pubblicati in altri canali o se siano comparsi in mercati secondari.
La lettura: quando il governo locale paga per un controllo che non esiste
Il pagamento di 1 milione di dollari ha acquistato alla contea un termine temporaneo: la sospensione della pubblicazione, non la restituzione della sicurezza. La struttura asimmetrica della negoziazione — offerta decuplicata, proof of deletion tecnicamente inutile, assenza di garanzie — riflette lo squilibrio di potere tra un'organizzazione con risorse limitate e un attore che opera attraverso identità mascherate e giurisdizioni non raggiungibili.
Il caso solleva questioni di trasparenza che il dossier non risolve: un ente pubblico che paga un riscatto senza cifratura non ha necessariamente l'obbligo di divulgare l'operazione come "incidente ransomware", perché nessun sistema è stato tecnicamente reso inutilizzabile. Questa lacuna classificatoria può impedire il conteggio accurato dell'entità del fenomeno e la corretta allocazione delle risorse di difesa.
Fonti
- https://thehackernews.com/2026/07/us-government-entity-paid-kairos-group.html
- https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
- https://nvd.nist.gov/general/news/cisa-exploit-catalog
- https://cyberscoop.com/blackfile-data-theft-extortion-retail-unit-42-rh-isac/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
- https://nvd.nist.gov/vuln/detail/CVE-2021-22986
- https://nvd.nist.gov/vuln/detail/CVE-2023-0669
- https://nvd.nist.gov/vuln/detail/CVE-2023-27350
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://nvd.nist.gov/vuln/detail/CVE-2020-1472
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.