七月初,网络安全研究员拉凯什·克里什南拿到了一份泄露的谈判聊天记录,顺手又在区块链上追了一圈资金走向。他把整个案子写成了一篇案例研究。里面有个数字让所有人停住了:一个美国政府实体,为了一份“不公开承诺”,付了差不多100万美元。
更怪的事在后面。收钱的组织叫Kairos,但它可能压根不是一个勒索软件团伙。克里什南仔细翻遍了所有痕迹,找不到它锁定任何一台机器的证据。没有加密器,没有锁机程序,也没有人要求受害者拿解密密钥。这伙人的威胁简单直接:文件已经偷走了,不付钱就公开。
![]()
这听起来不像传统的勒索攻击,倒更像一种粗暴的买卖。攻击者手里攥着数据,受害者花钱买沉默。整个过程里,数据本身直接变成了武器,加密这一步干脆被跳过了。
谈判桌上的一个月
克里什南没有在报告里点名受害者是谁,但泄露出来的对话指向了俄亥俄州的联合县。用来证明“货真价实”的文件样本里,文件名写得清清楚楚:Union.xlsx、一份标着“1 union co psi template”的Word文档,还有一个最终打包的压缩文件叫union.rar。受害者在谈判里反复强调自己是个小县,预算有限,拿不出大钱。攻击者没怎么理会这个说法,而是专门盯住了一个文件夹,标签写着“检察官办公室”。他们的警告很直白:这个文件夹一旦泄露,犯罪分子就能钻空子逃避指控了。
线索和现实中的一桩事件对得上。2025年5月,俄亥俄州联合县对外承认,他们的网络上检测到了勒索软件。后续发出的通知覆盖了45487名居民和工作人员,说这些人的数据已经被窃取。联合县总人口大约7万,受影响的比例相当大。被偷走的记录,从社会安全号、金融信息,一直延伸到指纹和护照号码。
联合县政府和Kairos都没确认二者之间的关联。但如果这个对应关系成立,那就意味着一个县级政府悄悄付了大约100万美元,而且这笔钱从未对外公开披露过。我们已联系联合县专员办公室请求置评,收到回复后会更新这个故事。
谈判拉扯了约一个月。Kairos一开口就要300万美元,声称手里握着超过2TB的数据,大约160万个文件。联合县从10万美元开始还价,一点点往上加,先是提到25.5万,再涨到43万。Kairos这边往下退了退,先降到200万美元,然后给出了一个强硬的最底线位:100万美元,周五之前付清,否则文件全部公开。
对方用了全套施压手段:倒计时器、紧绷的时间节点、威胁要先把最敏感的文件夹扔出去。联合县在2025年6月13日付了款,金额是最初报价的整整10倍。
买不到的安全
这笔付款折算下来大约是9.44个比特币,当时价值100万美元上下。克里什南顺着这笔钱往下追。几个小时之内,资金被拆成两路,穿过一连串钱包地址,最终流向了一些与加密货币交易所关联的存款地址,包括Bybit、OKX,还有一个叫BELQI的俄罗斯服务商。
这类追踪能给调查人员提供一些线索,但不是直接指向具体的人名。而且这笔钱买到的东西,本质上什么也不是。Kairos发回了一份“删除证明”文件,但一串文件名清单只能证明攻击者确实曾经持有过这些数据,无法证实原始文件真的被销毁了。付钱让被盗数据从别人手里消失,这本身就是一种信仰行为。收据还是由小偷本人开具的。
联合县把发生在自己身上的事称为“勒索软件”,这是所有人下意识会使用的一个词。但在Kairos这个案例里,没有任何东西被锁定。这才是真正的转折点所在:现在大量仍然被称作“勒索软件”的攻击,已经跳过了加密环节,直接拿窃取到的数据本身作为施压点。
Sophos在2025年发布的一份报告显示,仅一半多一点的勒索攻击还保留着加密文件的动作。剩下的那些,手法和Kairos如出一辙。攻击者不再费力去锁死系统,他们的全部筹码就是屏幕另一端的机构害怕数据外泄的恐惧。这种恐惧被精确标价,并且有人愿意为此埋单。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.