七月初,網絡安全研究員拉凱什·克里什南拿到了一份泄露的談判聊天記錄,順手又在區塊鏈上追了一圈資金走向。他把整個案子寫成了一篇案例研究。里面有個數字讓所有人停住了:一個美國政府實體,為了一份“不公開承諾”,付了差不多100萬美元。
更怪的事在后面。收錢的組織叫Kairos,但它可能壓根不是一個勒索軟件團伙。克里什南仔細翻遍了所有痕跡,找不到它鎖定任何一臺機器的證據。沒有加密器,沒有鎖機程序,也沒有人要求受害者拿解密密鑰。這伙人的威脅簡單直接:文件已經偷走了,不付錢就公開。
![]()
這聽起來不像傳統的勒索攻擊,倒更像一種粗暴的買賣。攻擊者手里攥著數據,受害者花錢買沉默。整個過程里,數據本身直接變成了武器,加密這一步干脆被跳過了。
談判桌上的一個月
克里什南沒有在報告里點名受害者是誰,但泄露出來的對話指向了俄亥俄州的聯合縣。用來證明“貨真價實”的文件樣本里,文件名寫得清清楚楚:Union.xlsx、一份標著“1 union co psi template”的Word文檔,還有一個最終打包的壓縮文件叫union.rar。受害者在談判里反復強調自己是個小縣,預算有限,拿不出大錢。攻擊者沒怎么理會這個說法,而是專門盯住了一個文件夾,標簽寫著“檢察官辦公室”。他們的警告很直白:這個文件夾一旦泄露,犯罪分子就能鉆空子逃避指控了。
線索和現實中的一樁事件對得上。2025年5月,俄亥俄州聯合縣對外承認,他們的網絡上檢測到了勒索軟件。后續發出的通知覆蓋了45487名居民和工作人員,說這些人的數據已經被竊取。聯合縣總人口大約7萬,受影響的比例相當大。被偷走的記錄,從社會安全號、金融信息,一直延伸到指紋和護照號碼。
聯合縣政府和Kairos都沒確認二者之間的關聯。但如果這個對應關系成立,那就意味著一個縣級政府悄悄付了大約100萬美元,而且這筆錢從未對外公開披露過。我們已聯系聯合縣專員辦公室請求置評,收到回復后會更新這個故事。
談判拉扯了約一個月。Kairos一開口就要300萬美元,聲稱手里握著超過2TB的數據,大約160萬個文件。聯合縣從10萬美元開始還價,一點點往上加,先是提到25.5萬,再漲到43萬。Kairos這邊往下退了退,先降到200萬美元,然后給出了一個強硬的最底線位:100萬美元,周五之前付清,否則文件全部公開。
對方用了全套施壓手段:倒計時器、緊繃的時間節點、威脅要先把最敏感的文件夾扔出去。聯合縣在2025年6月13日付了款,金額是最初報價的整整10倍。
買不到的安全
這筆付款折算下來大約是9.44個比特幣,當時價值100萬美元上下。克里什南順著這筆錢往下追。幾個小時之內,資金被拆成兩路,穿過一連串錢包地址,最終流向了一些與加密貨幣交易所關聯的存款地址,包括Bybit、OKX,還有一個叫BELQI的俄羅斯服務商。
這類追蹤能給調查人員提供一些線索,但不是直接指向具體的人名。而且這筆錢買到的東西,本質上什么也不是。Kairos發回了一份“刪除證明”文件,但一串文件名清單只能證明攻擊者確實曾經持有過這些數據,無法證實原始文件真的被銷毀了。付錢讓被盜數據從別人手里消失,這本身就是一種信仰行為。收據還是由小偷本人開具的。
聯合縣把發生在自己身上的事稱為“勒索軟件”,這是所有人下意識會使用的一個詞。但在Kairos這個案例里,沒有任何東西被鎖定。這才是真正的轉折點所在:現在大量仍然被稱作“勒索軟件”的攻擊,已經跳過了加密環節,直接拿竊取到的數據本身作為施壓點。
Sophos在2025年發布的一份報告顯示,僅一半多一點的勒索攻擊還保留著加密文件的動作。剩下的那些,手法和Kairos如出一轍。攻擊者不再費力去鎖死系統,他們的全部籌碼就是屏幕另一端的機構害怕數據外泄的恐懼。這種恐懼被精確標價,并且有人愿意為此埋單。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.