Ransom-ISAC araştırmacısı Rakesh Krishnan'ın yayınladığı yeni bir vaka analizine göre, ABD'li bir devlet kurumu çalınan dosyalarının sızdırılmasını önlemek için yaklaşık 1 milyon dolar ödedi. Analiz, sızdırılmış müzakere yazışmaları ve ödemenin blockchain üzerinde bıraktığı izler üzerine inşa edildi. İşin ilginç yanı, parayı alan grubun kendisine Kairos adını vermesi ancak geleneksel bir fidye yazılımı çetesi olmaması. Krishnan, grubun herhangi bir bilgisayarı kilitlemediğini, şifreleme yapmadığını veya şifre çözme anahtarı talep etmediğini belirtiyor. Tehdit daha basitti: Dosyaları çal, sonra yayınlamamak için kurbandan para iste.
Krishnan kurbanın adını vermese de yazışmalar Ohio, Union County'yi işaret ediyor. Kanıt dosyaları arasında Union.xlsx, 1 union co psi template.doc ve union.rar gibi isimler yer alıyor. Kurban kendisini sınırlı kaynaklara sahip küçük bir ilçe olarak tanımlarken, saldırgan özellikle 'savcılık ofisi' klasörüne odaklanarak bu dosyaların sızdırılmasının suçluların cezadan kaçmasına yardımcı olacağı tehdidinde bulunuyor. İpuçları gerçek bir vakayla örtüşüyor: Mayıs 2025'te Union County, Ohio, ağında fidye yazılımı tespit ettiğini duyurmuş ve 45.487 kişinin verilerinin çalındığını bildirmişti. Çalınan kayıtlar arasında Sosyal Güvenlik numaraları, finansal bilgiler, parmak izleri ve pasaport numaraları bulunuyor.
Müzakere yaklaşık bir ay sürdü. Kairos 3 milyon dolar taleple başladı ve 2 terabayttan fazla veri (yaklaşık 1.6 milyon dosya) tuttuklarını iddia etti. İlçe 100.000 dolar teklifle başladı, 255.000 dolara, ardından 430.000 dolara yükseldi. Kairos 2 milyon dolara indi, sonra nihai rakam olarak 1 milyon dolar belirledi: Cuma gününe kadar ödenmezse dosyalar yayınlanacaktı. Ödeme blockchain'de iz bıraktı: Kairos bağlantılı cüzdana yaklaşık 9.44 BTC (o dönemde yaklaşık 1 milyon dolar) yatırıldı. Krishnan parayı takip etti; saatler içinde ikiye bölünerek Bybit, OKX ve BELQI adlı bir Rus hizmetine ait para yatırma adreslerine gönderildi. Bu tür iz sürme araştırmacılara ipuçları verir ancak isim vermez. Kairos 'silme kanıtı' dosyası gönderdi ancak bu sadece saldırganın dosyalara bir kez sahip olduğunu gösteriyor, orijinallerin silindiğini değil.
Teknik Analiz
Union County olayı 'fidye yazılımı' olarak adlandırdı ancak Kairos vakasında hiçbir şey kilitlenmedi. Bu gerçek bir değişimi işaret ediyor: Artık fidye yazılımı denen saldırıların çoğu şifrelemeyi atlayıp yalnızca çalınan verileri baskı aracı olarak kullanıyor. Sophos 2025 raporunda, fidye yazılımı saldırılarının yalnızca yarısının hâlâ şifreleme içerdiğini, bunun altı yılın en düşük oranı olduğunu belirtti. Kairos'un sessizliğe gömülmesi ve son kurbanının Haziran 2026'da görülmesi, ancak cüzdanının Mayıs 2026'da hâlâ hareket halinde olması, karanlık sızıntı sitelerinin kapanmasının çetenin öldüğü anlamına gelmediğini gösteriyor. Küçük devlet ağları için dersler sıradan ama önemli: Çok faktörlü kimlik doğrulama kullanın, başarısız giriş denemelerini ve büyük veri çıkışlarını izleyin, hassas dosyaları ağın geri kalanından ayırın ve çalınan verilerin silineceği vaadine hiç güvenmeyin.