Um órgão público nos Estados Unidos pagou cerca de US$ 1 milhão ao grupo Kairos para impedir a divulgação de arquivos roubados, segundo estudo de caso publicado por Rakesh Krishnan para o Ransom-ISAC. A pesquisa foi construída a partir de um chat de negociação vazado e do rastro do pagamento no blockchain, e traz um detalhe incômodo: o Kairos não parece ser, tecnicamente, uma gangue de ransomware — não há criptografia envolvida, apenas roubo de dados e a ameaça de vazamento público.
O caso, tornado público neste início de julho, envolve um pequeno órgão de governo local que se descreve como “condado pequeno, com recursos limitados”. Krishnan não nomeia oficialmente a vítima, mas a documentação — arquivos com nomes como Union.xlsx, 1 union co psi template.doc e o pacote final union.rar — aponta com alta confiança para o Condado de Union, em Ohio, que já havia confirmado publicamente ter sofrido um ataque cibernético em maio de 2025.
O diferencial da operação foi a ausência de qualquer artefato clássico de ransomware. Não há sinais de encryptor, locker ou pedido de chave de descriptografia. A ameaça era apenas uma: divulgar os arquivos exfiltrados caso o pagamento não fosse feito. Entre os dados capturados, o grupo destacou uma pasta identificada como “prosecutors office” (do gabinete dos promotores), alertando que a exposição desses documentos poderia ajudar acusados a driblar processos criminais em andamento.
A negociação, iniciada em torno de US$ 4 milhões, terminou em cerca de US$ 1 milhão após semanas de troca de mensagens. O pagamento em criptomoedas foi identificado no blockchain, permitindo a Krishnan reconstituir o fluxo e vincular a transação ao caso do condado.
O modus operandi observado no caso reforça uma tendência já sinalizada por relatórios do setor: parte crescente dos grupos de extorsão descarta completamente a etapa de criptografia. A operação passa a se apoiar em três pilares — acesso inicial, exfiltração massiva e pressão psicológica para pagamento — reduzindo o overhead técnico e minimizando a chance de detecção pelas soluções tradicionais de EDR focadas em comportamento de encryptors.
Segundo o estudo, a comunicação entre atacantes e vítima ocorreu por meio de portal próprio do grupo, com temporizador de deadline visível e ameaças graduais de vazamento parcial. A tática de destacar a pasta do escritório dos promotores foi um recurso deliberado para amplificar a percepção de dano público, aproveitando o receio da administração local com a repercussão política e jurídica de um vazamento envolvendo processos criminais.
“O grupo Kairos representa um modelo enxuto: menos capacidade técnica, mais pressão narrativa. É extorsão pura, apoiada no medo do dano reputacional — e é exatamente o tipo de ataque para o qual o setor público ainda não está pronto.” — leitura editorial a partir dos dados do Ransom-ISAC.
O caso ilustra uma vulnerabilidade estrutural que atinge diretamente governos municipais e estaduais em toda a América do Norte — e serve de alerta para prefeituras, tribunais e órgãos de fiscalização no Brasil. Os alvos preferenciais têm um perfil recorrente:
O episódio Kairos se soma a um conjunto crescente de grupos que abandonam a criptografia como principal alavanca de extorsão — movimento observado desde a decadência do modelo tradicional de ransomware-as-a-service, com o desmonte de operações como Conti e a fragmentação de LockBit e ALPHV/BlackCat ao longo de 2024 e 2025. A migração para o modelo “data-theft only” reduz a barreira técnica de entrada e amplia a superfície de atores oportunistas, muitas vezes sem infraestrutura complexa por trás.
No contexto governamental, esse modelo é particularmente perverso: a decisão de pagar deixa de ser sobre restaurar operações e passa a ser sobre proteger reputação, sigilo processual e privacidade de cidadãos. Isso invalida boa parte dos argumentos que orientam políticas de “no pay” e força uma discussão mais madura sobre o que constitui, hoje, resiliência para o setor público. O caso também escancara que rastrear pagamentos no blockchain, embora útil para pesquisa e investigação, chega tarde demais para evitar o dano imediato à confiança dos cidadãos.
Fonte: The Hacker News
Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA…
Após três semanas de bloqueio ao acesso global do modelo, governo americano recua. Katie Moussouris…
Renúncia de Keir Starmer e disputa pela liderança do Partido Trabalhista adiam o National Cyber…
Operação coordenada entre Google Threat Intelligence Group, FBI, Lumen e Shadowserver mira uma das maiores…
Ex-membro do comitê PEGA do Parlamento Europeu teve celular repetidamente hackeado pelo Pegasus durante a…
LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…