Órgão público dos EUA pagou US$ 1 milhão ao grupo Kairos em caso de extorsão sem ransomware

Estudo de caso divulgado por Rakesh Krishnan para o Ransom-ISAC reconstrói pagamento rastreado no blockchain e revela grupo que apenas rouba dados, sem criptografia — indicando novo capítulo da extorsão digital contra o setor público.

Ilustracao ataque de extorsao contra condado nos EUA

Um órgão público nos Estados Unidos pagou cerca de US$ 1 milhão ao grupo Kairos para impedir a divulgação de arquivos roubados, segundo estudo de caso publicado por Rakesh Krishnan para o Ransom-ISAC. A pesquisa foi construída a partir de um chat de negociação vazado e do rastro do pagamento no blockchain, e traz um detalhe incômodo: o Kairos não parece ser, tecnicamente, uma gangue de ransomware — não há criptografia envolvida, apenas roubo de dados e a ameaça de vazamento público.

O que aconteceu

O caso, tornado público neste início de julho, envolve um pequeno órgão de governo local que se descreve como “condado pequeno, com recursos limitados”. Krishnan não nomeia oficialmente a vítima, mas a documentação — arquivos com nomes como Union.xlsx, 1 union co psi template.doc e o pacote final union.rar — aponta com alta confiança para o Condado de Union, em Ohio, que já havia confirmado publicamente ter sofrido um ataque cibernético em maio de 2025.

O diferencial da operação foi a ausência de qualquer artefato clássico de ransomware. Não há sinais de encryptor, locker ou pedido de chave de descriptografia. A ameaça era apenas uma: divulgar os arquivos exfiltrados caso o pagamento não fosse feito. Entre os dados capturados, o grupo destacou uma pasta identificada como “prosecutors office” (do gabinete dos promotores), alertando que a exposição desses documentos poderia ajudar acusados a driblar processos criminais em andamento.

A negociação, iniciada em torno de US$ 4 milhões, terminou em cerca de US$ 1 milhão após semanas de troca de mensagens. O pagamento em criptomoedas foi identificado no blockchain, permitindo a Krishnan reconstituir o fluxo e vincular a transação ao caso do condado.

Como o Kairos opera

O modus operandi observado no caso reforça uma tendência já sinalizada por relatórios do setor: parte crescente dos grupos de extorsão descarta completamente a etapa de criptografia. A operação passa a se apoiar em três pilares — acesso inicial, exfiltração massiva e pressão psicológica para pagamento — reduzindo o overhead técnico e minimizando a chance de detecção pelas soluções tradicionais de EDR focadas em comportamento de encryptors.

Segundo o estudo, a comunicação entre atacantes e vítima ocorreu por meio de portal próprio do grupo, com temporizador de deadline visível e ameaças graduais de vazamento parcial. A tática de destacar a pasta do escritório dos promotores foi um recurso deliberado para amplificar a percepção de dano público, aproveitando o receio da administração local com a repercussão política e jurídica de um vazamento envolvendo processos criminais.

“O grupo Kairos representa um modelo enxuto: menos capacidade técnica, mais pressão narrativa. É extorsão pura, apoiada no medo do dano reputacional — e é exatamente o tipo de ataque para o qual o setor público ainda não está pronto.” — leitura editorial a partir dos dados do Ransom-ISAC.

Quem é afetado

O caso ilustra uma vulnerabilidade estrutural que atinge diretamente governos municipais e estaduais em toda a América do Norte — e serve de alerta para prefeituras, tribunais e órgãos de fiscalização no Brasil. Os alvos preferenciais têm um perfil recorrente:

  • Órgãos com orçamento de TI reduzido e sem CISO dedicado.
  • Ambientes com backup deficiente e sem segregação entre setores administrativos e jurídicos.
  • Instituições que lidam com dados sensíveis de terceiros (processos, denúncias, protocolos internos), cuja exposição gera dano reputacional imediato.
  • Governos locais em cidades pequenas, onde a decisão de pagamento pode ser tomada por poucas pessoas sob forte pressão política.

Análise

O episódio Kairos se soma a um conjunto crescente de grupos que abandonam a criptografia como principal alavanca de extorsão — movimento observado desde a decadência do modelo tradicional de ransomware-as-a-service, com o desmonte de operações como Conti e a fragmentação de LockBit e ALPHV/BlackCat ao longo de 2024 e 2025. A migração para o modelo “data-theft only” reduz a barreira técnica de entrada e amplia a superfície de atores oportunistas, muitas vezes sem infraestrutura complexa por trás.

No contexto governamental, esse modelo é particularmente perverso: a decisão de pagar deixa de ser sobre restaurar operações e passa a ser sobre proteger reputação, sigilo processual e privacidade de cidadãos. Isso invalida boa parte dos argumentos que orientam políticas de “no pay” e força uma discussão mais madura sobre o que constitui, hoje, resiliência para o setor público. O caso também escancara que rastrear pagamentos no blockchain, embora útil para pesquisa e investigação, chega tarde demais para evitar o dano imediato à confiança dos cidadãos.

Recomendações práticas

  • Segmentar redes por função (jurídico, tributário, saúde, TI) para conter movimentação lateral e limitar o volume de dados exfiltrado em um único incidente.
  • Habilitar DLP e monitoramento de saída de tráfego para detectar exfiltração anômala de grandes volumes de arquivos.
  • Adotar MFA resistente a phishing em todos os acessos administrativos, VPNs e portais de fornecedores terceirizados.
  • Classificar dados sensíveis (sigilo processual, informações de vítimas, prontuários) e aplicar criptografia em repouso com chaves geridas em HSM.
  • Estabelecer, previamente, uma política escrita de resposta a extorsão — com envolvimento do jurídico, comunicação e autoridade contratante — para evitar decisões improvisadas sob pressão.
  • Conduzir exercícios de tabletop simulando cenário de exfiltração sem criptografia, que é hoje o vetor dominante contra governos locais.
  • Contribuir com dados anônimos para grupos de compartilhamento como Ransom-ISAC, aumentando a visibilidade coletiva sobre atores de baixo perfil como o Kairos.

Fonte: The Hacker News

Social Media Auto Publish Powered By : XYZScripts.com