Een Amerikaanse overheidsinstantie betaalde ongeveer $1 miljoen om te voorkomen dat gestolen bestanden zouden lekken, volgens een nieuwe casestudy van Rakesh Krishnan voor Ransom-ISAC, gebaseerd op een gelekte onderhandelingschat en het blockchain-spoor dat de betaling achterliet.
Het vreemde is: de groep die het geld heeft aangenomen, belt zichzelf Kairosmaar het is misschien helemaal geen ransomwarebende. Krishnan vond geen teken dat er ooit een enkele machine was vergrendeld: geen encryptor, geen kluisje, geen vraag naar een decoderingssleutel. De dreiging was eenvoudiger. Steel de bestanden en vraag het slachtoffer vervolgens om ze niet te publiceren.
Krishnan noemt het slachtoffer niet, maar de chat verwijst naar Union County, Ohio. De diefstalbewijzenbestanden hebben namen als Union.xlsx, 1 union co psi template.doc en een laatste archief met de naam union.rar. Het slachtoffer noemt zichzelf een kleine provincie met beperkte middelen. De aanvaller vertrouwt op één map in het bijzonder, met de aanduiding ‘kantoor van de aanklager’, en waarschuwt dat het lekken ervan criminelen zou helpen aanklachten te ontwijken.
De aanwijzingen passen bij een echte zaak. In mei 2025 zei Union County, Ohio dat het ransomware op zijn netwerk had gedetecteerd en later 45.487 inwoners en personeel op de hoogte had gebracht dat hun gegevens waren verzameld, waardoor het grootste deel van de provincie van ongeveer 70.000 werd getroffen. De gestolen gegevens varieerden van sociale zekerheids- en financiële gegevens tot vingerafdrukken en paspoortnummers.
Noch de provincie, noch Kairos hebben het verband bevestigd. Maar als dat zo is, heeft een provinciale overheid ongeveer 1 miljoen dollar betaald, maar dat is nooit openbaar gemaakt. The Hacker News heeft voor commentaar contact opgenomen met het Union County Commissioners’ Office. Dit verhaal wordt bij elke reactie bijgewerkt.
De onderhandelingen hebben ongeveer een maand geduurd. Kairos opende op $3 miljoen en beweerde dat het meer dan 2 terabytes aan gegevens bevatte, zo’n 1,6 miljoen bestanden. De county begon bij $100.000, steeg op naar $255.000 en vervolgens naar $430.000. Kairos zakte naar $2 miljoen en stelde vervolgens een hard eindbedrag vast: $1 miljoen, vrijdag betalen, anders worden de bestanden openbaar.
Het gebruikte de gebruikelijke hefbomen: een afteltimer, strakke deadlines en bedreigingen om de meest gevoelige mappen als eerste te dumpen. De provincie betaalde op 13 juni 2025 tien keer het eerste bod.
De betaling bedroeg ongeveer 9,44 bitcoin, destijds ongeveer $ 1 miljoen waard. Krishnan traceerde het geld vanaf daar. Binnen enkele uren werd het in tweeën gesplitst en door een keten van portefeuilles geduwd naar stortingsadressen die waren gekoppeld aan de crypto-uitwisselingen Bybit, OKX en een Russische dienst genaamd BELQI.
Bij dat soort tracering zijn de aanwijzingen van de onderzoekers afkomstig, en niet de namen. En met het geld werd niets solide gekocht. Kairos stuurde een “bewijs van verwijdering”-bestand, maar uit een lijst met bestandsnamen blijkt alleen dat de aanvaller ooit over de bestanden beschikte, niet dat de originelen zijn gewist. Betalen om gestolen gegevens te laten verdwijnen is een daad van geloof, en het ontvangstbewijs wordt door de dief geschreven.

Union County noemde wat ermee gebeurde ransomware, het woord waar iedereen naar grijpt, maar in de Kairos-zaak was niets op slot. Dat is de echte verschuiving: veel van wat nog steeds ransomware wordt genoemd, slaat nu de codering over en gebruikt de gestolen gegevens zelf als drukpunt.
Sophos meldde in 2025 dat bij slechts ongeveer de helft van de ransomware-aanvallen nog steeds sprake is van encryptie, het laagste percentage in zes jaar. Sommige bemanningen hebben het volledig laten vallen. Silent Ransom Group, een uitloper van Conti, voert jarenlang pure afpersing van gegevensdiefstal uit tegen Amerikaanse advocaten- en financiële firma’s, zonder enige encryptie.
De Kairos-chat past ook in een bekend onderhandelingspatroon. Toen de interne chats van Black Basta in februari 2025 uitlekten, leverde een analyse van de berichten een deal op die liep van een eis van $1,5 miljoen tot een tegenprestatie van $100.000 tot een betaling van $1 miljoen, bijna dezelfde boog. Deze chats, en de Conti-lekken die voor hen in 2022 verschijnen, zijn de manier waarop onderzoekers nu de manier reconstrueren waarop deze koopjes daadwerkelijk tot stand komen.
Kairos zelf is stil geworden. De leklocatie is offline en het laatst bekende slachtoffer verscheen in juni 2026. Maar een portemonnee die aan de operatie was gekoppeld, verplaatste pas in mei 2026 nog steeds geld, een herinnering dat een donkere leklocatie niet hetzelfde is als een dode bemanning.
Voor iedereen die een klein overheidsnetwerk beheert, zijn de lessen saai en vertrouwd, en dat is juist waar het om gaat. Schakel multifactorauthenticatie in, omdat Kairos beweerde dat hij binnenkwam door simpelweg een wachtwoord te raden.
Let op herhaalde mislukte aanmeldingen, grote uitgaande gegevensoverdrachten en koppelingen voor het delen van bestanden, zoals de temp.sh-adressen die Kairos gebruikte om de bestanden te verplaatsen. Houd juridische, HR- en burgergegevens afgeschermd van de rest van het netwerk. Zorg ervoor dat u een openbaar verklaringsplan gereed heeft voordat u er een nodig heeft. En beschouw elke belofte om gestolen gegevens te verwijderen als niets waard.