Uma entidade governamental dos EUA pagou cerca de US$ 1 milhão para evitar que arquivos roubados fossem vazados, segundo um novo estudo de caso de Rakesh Krishnan para a Ransom-ISAC, construído com base em uma conversa de negociação vazada e no rastro de blockchain deixado pelo pagamento.
A parte estranha é a seguinte: o grupo que recebeu o dinheiro se autointitula Kairos, mas pode nem ser de fato uma quadrilha de ransomware. Krishnan não encontrou nenhum indício de que o grupo tenha bloqueado uma única máquina: nenhum criptografador, nenhum locker, nenhuma exigência de chave de descriptografia. A ameaça era mais simples. Roubar os arquivos e depois cobrar da vítima para não publicá-los.
Krishnan não revela o nome da vítima, mas a conversa aponta para Union County, Ohio. Os arquivos usados como prova do roubo trazem nomes como Union.xlsx, "1 union co psi template.doc" e um arquivo final chamado union.rar. A vítima se descreve como um condado pequeno, com recursos limitados. O atacante se apoia em uma pasta específica, marcada como "prosecutors office" (escritório do Ministério Público), alertando que o vazamento ajudaria criminosos a escapar de acusações.
As pistas se encaixam em um caso real. Em maio de 2025, Union County, Ohio, afirmou ter detectado ransomware em sua rede e, posteriormente, notificou 45.487 moradores e servidores públicos de que seus dados tinham sido roubados, afetando a maior parte do condado, que tem cerca de 70 mil habitantes. Os registros roubados iam de números do Seguro Social (Social Security) e dados financeiros a impressões digitais e números de passaporte.
Nem o condado nem o Kairos confirmaram a ligação. Mas, se ela se confirmar, um governo municipal pagou cerca de US$ 1 milhão sem nunca ter divulgado isso publicamente. O The Hacker News entrou em contato com o escritório dos comissários de Union County para pedir um posicionamento. Esta reportagem será atualizada com qualquer resposta.
A negociação durou cerca de um mês. O Kairos abriu pedindo US$ 3 milhões e afirmou que estava com mais de 2 terabytes de dados, cerca de 1,6 milhão de arquivos. O condado começou com US$ 100 mil, subiu para US$ 255 mil e depois para US$ 430 mil. O Kairos recuou para US$ 2 milhões e, então, fixou um valor final: US$ 1 milhão, pagar até sexta-feira, ou os arquivos seriam publicados.
O grupo usou as alavancas de sempre: cronômetro regressivo, prazos apertados e ameaças de despejar primeiro as pastas mais sensíveis. O condado pagou em 13 de junho de 2025, dez vezes sua oferta inicial.
O pagamento foi de aproximadamente 9,44 bitcoins, cerca de US$ 1 milhão na época. Krishnan rastreou o dinheiro a partir daí. Em poucas horas, o valor foi dividido em dois e empurrado por uma cadeia de carteiras em direção a endereços de depósito ligados às corretoras de criptomoedas Bybit, OKX e a um serviço russo chamado BELQI.
Esse tipo de rastreamento oferece pistas aos investigadores, não nomes. E o dinheiro não comprou nada concreto. O Kairos enviou um arquivo de "comprovante de exclusão", mas uma lista de nomes de arquivos mostra apenas que o atacante um dia teve acesso aos arquivos, e não que os originais foram apagados. Pagar para fazer dados roubados desaparecerem é um ato de fé, e o recibo é escrito pelo ladrão.
Union County classificou o que lhe aconteceu como ransomware, a palavra que todo mundo recorre, mas, no caso do Kairos, nada foi bloqueado. Essa é a mudança real: boa parte do que ainda se chama ransomware hoje pula a criptografia e usa os próprios dados roubados como ponto de pressão.
A Sophos relatou, em 2025, que apenas cerca de metade dos ataques de ransomware ainda envolve algum tipo de criptografia, a menor taxa em seis anos. Alguns grupos abandonaram a criptografia por completo. O Silent Ransom Group, derivado do Conti,