مؤشرات Union County تشير إلى دفعة ابتزاز بيانات بقيمة $1 million إلى Kairos
تقول دراسة Ransom-ISAC إن Kairos حصلت على نحو $1 million بعد سرقة ملفات من دون تشفير الأنظمة. وتشير القرائن إلى Union County في Ohio، لكن السجل العام لا يؤكد الصلة ولا يثبت حذف البيانات.

يشير سجل تفاوض مسرب إلى أن حكومة مقاطعة أمريكية دفعت نحو $1 million بعد أن سرق مهاجمون ملفات بدلا من تشفير الأنظمة، ما حول الحادث إلى قضية ابتزاز بالبيانات من دون دليل عام على حذف الملفات.
تقول دراسة الحالة التي أعدها Rakesh Krishnan لصالح Ransom-ISAC إن المجموعة التي تسمي نفسها Kairos طلبت الدفع بعد أخذ بيانات والتهديد بنشرها. ولم يجد Krishnan دليلا على وجود أداة قفل أو برنامج تشفير أو طلب مفتاح فك تشفير، لذلك جاء الضغط من تهديد الإفصاح لا من تعطيل الأجهزة.
مؤشرات Union County تشير إلى ضحية من القطاع العام
لم يسم Krishnan الضحية في دراسة الحالة. وأشارت القرائن المعلنة إلى Union County في Ohio، بما في ذلك أسماء ملفات مثل Union.xlsx وunion.rar، وإشارة إلى مقاطعة صغيرة ذات موارد محدودة، ومجلد يحمل وسم prosecutors office.
قالت Union County في May 2025 إنها رصدت ransomware على شبكتها. وقال إشعار Union County العام إن المقاطعة أخطرت لاحقا 45,487 من السكان والموظفين بأن بياناتهم أخذت، ما أثر في معظم سكان المقاطعة. وقال الإشعار إن السجلات المسروقة شملت تفاصيل Social Security ومعلومات مالية وبصمات وأرقام جوازات سفر.
لم تؤكد المقاطعة ولا Kairos أن دراسة الحالة تصف حادث Union County. وإذا كان التطابق صحيحا، فقد دفعت المقاطعة فدية من سبعة أرقام لم يذكرها إشعار الحادث العام.
التفاوض انتقل من $3 million إلى 9.44 bitcoin
استمر التفاوض نحو شهر، وفقا لدراسة الحالة. وفقا لدراسة الحالة، بدأت Kairos بطلب $3 million وقالت إنها تحتفظ بأكثر من 2 terabytes من البيانات ضمن نحو 1.6 million ملف.
تقول دراسة الحالة إن الضحية بدأت بعرض $100,000، ثم رفعت العرض لاحقا قبل أن تصل إلى $430,000. وتقول دراسة الحالة إن Kairos خفضت طلبها إلى $2 million قبل أن تحدد مهلة نهائية عند $1 million وتهدد بنشر الملفات إذا لم يتم الدفع بحلول Friday.
تقول دراسة الحالة إن الضحية دفعت في June 13, 2025. وفقا لـ Rakesh Krishnan، بلغت الدفعة نحو 9.44 bitcoin، بقيمة تقارب $1 million في ذلك الوقت، وتتبع Krishnan الأموال وهي تنقسم وتتحرك نحو عناوين إيداع مرتبطة بـ Bybit وOKX وخدمة روسية تسمى BELQI.
ابتزاز سرقة البيانات لا يقدم دليلا على الحذف
أرسلت Kairos ما وصف بأنه ملف proof-of-deletion بعد الدفع. وتقول دراسة الحالة إن قائمة الملفات أظهرت أن المهاجم امتلك الملفات في وقت سابق، لا أن النسخ الأصلية حذفت.
بالنسبة إلى شبكات القطاع العام، اشترى الدفع وعدا من المهاجم، لا حدث استرداد يمكن التحقق منه. في حالة التشفير الكلاسيكية يكون الاختبار التشغيلي هو ما إذا كان يمكن فك تشفير الأنظمة واستعادتها. أما في حالة سرقة البيانات، فقد تبقى النسخ لدى المهاجم أو لدى طرف آخر.
أوردت المادة أيضا تقرير Sophos في 2025 بأن نحو نصف هجمات ransomware فقط ما زال يتضمن التشفير، وهو أدنى معدل في ست سنوات. كما قارنت نمط Kairos مع Silent Ransom Group، وهي مجموعة متفرعة من Conti وصفت بأنها تستخدم ابتزاز سرقة البيانات ضد شركات القانون والتمويل في الولايات المتحدة من دون برنامج تشفير.
وقالت المادة إن موقع التسريب الخاص بـ Kairos متوقف الآن، وإن آخر ضحية معروفة لها ظهرت في June 2026. وكان عنوان محفظة مرتبط بالعملية لا يزال يحرك أموالا حتى May 2026، وفقا لدراسة الحالة.
لم تفصح السجلات العامة المتاحة عن تأكيد صلة Union County، أو جرد كامل للملفات المنسوخة، أو دليل على أن Kairos حذفت البيانات، أو اتهامات جنائية مسماة، أو ما إذا كانت المقاطعة استعادت الدفعة.














