Một cơ quan chính phủ Mỹ đã chi 1 triệu USD để chuộc dữ liệu từ nhóm Kairos
Một báo cáo mới tiết lộ một cơ quan chính phủ Mỹ đã âm thầm trả 1 triệu USD cho nhóm tin tặc Kairos để ngăn chặn việc rò rỉ dữ liệu bị đánh cắp, dù không có dấu hiệu nào cho thấy hệ thống bị mã hóa...
Theo một nghiên cứu mới từ Ransom-ISAC dựa trên các đoạn chat đàm phán bị rò rỉ và dấu vết giao dịch blockchain, một cơ quan chính phủ tại Mỹ đã chi khoảng 1 triệu USD để ngăn chặn việc phát tán các tệp tin bị đánh cắp.
Điểm đáng chú ý là nhóm tin tặc đứng sau vụ việc, tự xưng là Kairos, dường như không sử dụng mã độc ransomware truyền thống. Các nhà nghiên cứu không tìm thấy bất kỳ bằng chứng nào về việc hệ thống bị khóa, không có công cụ mã hóa (encryptor) hay yêu cầu khóa giải mã. Thay vào đó, nhóm này sử dụng hình thức tống tiền thuần túy: đánh cắp dữ liệu và đe dọa công khai chúng nếu nạn nhân không nộp tiền.
Dù báo cáo không nêu đích danh nạn nhân, các dữ liệu trong đoạn chat đàm phán cho thấy khả năng cao đó là Quận Union, bang Ohio. Các tệp tin bằng chứng bao gồm nhiều tài liệu có tên liên quan đến quận này. Vào tháng 5/2025, Quận Union từng thông báo về một vụ tấn công mạng khiến dữ liệu của hơn 45.000 cư dân bị rò rỉ, bao gồm số An sinh xã hội, thông tin tài chính và hộ chiếu.
Quá trình đàm phán kéo dài khoảng một tháng. Kairos bắt đầu với yêu cầu 3 triệu USD cho hơn 2TB dữ liệu. Sau nhiều lần thương lượng, nhóm này chốt con số cuối cùng là 1 triệu USD. Nạn nhân đã thực hiện thanh toán khoảng 9,44 Bitcoin vào ngày 13/6/2025. Dấu vết giao dịch cho thấy số tiền này sau đó được chuyển qua nhiều ví điện tử và các sàn giao dịch như Bybit, OKX và dịch vụ BELQI tại Nga.
Vụ việc này phản ánh một xu hướng đáng lo ngại trong an ninh mạng: nhiều nhóm tin tặc đang từ bỏ việc mã hóa dữ liệu để chuyển sang hình thức tống tiền bằng cách đe dọa công khai thông tin nhạy cảm. Theo báo cáo từ Sophos năm 2025, chỉ khoảng một nửa số vụ tấn công ransomware hiện nay còn sử dụng mã hóa, mức thấp nhất trong 6 năm qua.
Các chuyên gia cảnh báo rằng việc trả tiền chuộc không đảm bảo dữ liệu sẽ được xóa bỏ hoàn toàn. Đối với các tổ chức, đặc biệt là khối chính phủ, việc tăng cường bảo mật là ưu tiên hàng đầu: kích hoạt xác thực đa yếu tố (MFA), giám sát các lần đăng nhập thất bại, kiểm soát lưu lượng dữ liệu outbound và tách biệt các tệp tin nhạy cảm khỏi mạng lưới chính.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.