
Según el nuevo estudio de caso de Rakesh Krishnan sobre el rescate ISAC, las agencias gubernamentales de Estados Unidos pagaron casi un millón de dólares para evitar que se filtraran archivos robados. Este estudio de caso se basó en los rastros de blockchain dejados por chats de negociación y pagos filtrados.
Curiosamente, el grupo que recibió el dinero se hace llamar Kairos, pero puede que no sea una banda de ransomware. Krishnan no encontró evidencia de haber bloqueado una sola máquina. No había ningún dispositivo de cifrado, ni casillero, ni solicitud de clave de descifrado. La amenaza era más sencilla. Roba archivos y pide a la víctima que no los divulgue.
Krishnan no nombró a la víctima, pero el chat apunta al condado de Union, Ohio. Los archivos a prueba de robo tienen nombres como Union.xlsx, 1 Union co psi template.doc y union.rar en el archivo final. Las víctimas se describen a sí mismas como condados pequeños con recursos limitados. Los atacantes se centraron específicamente en una carpeta marcada como «Fiscalía», advirtiendo que su filtración podría ayudar a los delincuentes a evitar el procesamiento.
Las pistas se aplican a casos reales. El condado de Union, Ohio, anunció en mayo de 2025 que detectó ransomware en su red y posteriormente notificó a 45.487 residentes y empleados que sus datos habían sido robados, lo que afectó a la mayor parte del condado de aproximadamente 70.000 habitantes. Los registros robados iban desde información financiera y del Seguro Social hasta huellas dactilares y números de pasaporte.
Ni el condado ni Kairos han confirmado la conexión. Pero si eso fuera cierto, el gobierno del condado habría pagado una cantidad no revelada de alrededor de $1 millón. Hacker News se comunicó con la Oficina de Comisionados del Condado de Union para solicitar comentarios. Esta historia se actualizará si hay una respuesta.
Las negociaciones continuaron durante aproximadamente un mes. Kairos abrió por 3 millones de dólares y afirmaba contener más de 2 terabytes de datos, aproximadamente 1,6 millones de archivos. El condado comenzó con $100,000 y subió a $255,000 y luego a $430,000. Kairos bajó a $2 millones y finalmente a $1 millón, estableciendo una cifra fija que requeriría el pago antes del viernes o los archivos se harían públicos.
Pago en cadena: se depositarán aproximadamente 9,44 BTC en la billetera vinculada a Kairos.
Se utilizaron las tácticas habituales: cronómetros de cuenta regresiva, plazos estrictos y amenazas de deshacerse primero de las carpetas más confidenciales. El condado pagó 10 veces la oferta original el 13 de junio de 2025.
El monto del pago fue de aproximadamente 9,44 Bitcoins, lo que valía aproximadamente 1 millón de dólares en ese momento. Krishnan rastreó los fondos desde allí. En cuestión de horas, se dividió en dos y se envió a través de una serie de billeteras a direcciones de depósito asociadas con los intercambios de criptomonedas Bybit, OKX y un servicio ruso llamado BELQI.
Este rastreo de manos lo guían los investigadores, no los nombres. Y el dinero no podía comprar nada sólido. Kairos envió un archivo de «evidencia de eliminación», pero la lista de nombres de archivos solo indica que el atacante alguna vez fue propietario del archivo, no que el archivo original fue eliminado. Pagar para borrar datos robados es un acto de fe y el recibo lo escribe el ladrón.

El condado de Union llama ransomware a lo sucedido en este incidente. Esta palabra está al alcance de todos, pero en el caso de Kairos no se bloqueó nada. Ese es un verdadero cambio. Gran parte de lo que todavía se llama ransomware omite el cifrado y utiliza los datos robados como punto de presión.
En 2025, Sophos informó que solo alrededor de la mitad de los ataques de ransomware involucraban cifrado, el porcentaje más bajo en seis años. Algunos miembros de la tripulación han dejado de hacerlo por completo. Silent Ransom Group, una filial de Conti, lleva años extorsionando exclusivamente por robo de datos a bufetes de abogados y empresas financieras estadounidenses, sin utilizar ningún equipo de cifrado.
El chat Kairos también se aplica a patrones de negociación comunes. Cuando los chats internos de Black Basta se filtraron en febrero de 2025, el análisis de los mensajes reveló un arco de transacciones casi idéntico, desde una solicitud de 1,5 millones de dólares hasta una contrapartida de 100.000 dólares y un pago de 1 millón de dólares. Estos chats, y la filtración de Conti anterior a esa en 2022, son la forma en que los investigadores ahora están reconstruyendo cómo se llevan a cabo realmente estas transacciones.
El propio Kairos quedó en silencio. El sitio filtrado no funciona y la última víctima conocida apareció en junio de 2026. Sin embargo, en mayo de 2026, las billeteras asociadas con esta operación todavía mueven fondos, un recordatorio de que el sitio de la filtración oscura no es lo mismo que el equipo muerto.
Para quienes dirigen pequeñas redes gubernamentales, las lecciones son aburridas y familiares, pero son importantes. Kairos afirma entrar simplemente adivinando su contraseña, así que active la autenticación multifactor.
Esté atento a errores repetidos de inicio de sesión, grandes transferencias de datos salientes y enlaces compartidos de archivos grabados, como la dirección temp.sh que Kairos usó para mover archivos. Mantenga los registros legales, de personal y civiles separados del resto de la red. Prepare un plan para su declaración pública antes de que lo necesite. Y consideran que las promesas de eliminar datos robados son completamente inútiles.
Source link
