Ransom-ISACの報告によると、米国のある政府機関が、2025年5月の侵入で窃取された情報の公開を阻止するため、サイバー恐喝グループ「Kairos」に100万ドルの身代金を支払ったとされています。
流出した交渉記録によると、この恐喝グループは被害組織に対し暗号資産で300万ドルを要求していましたが、最終的に100万ドルで手打ちとなりました。
Kairosは、ブルートフォース攻撃で被害者の環境に侵入した後、2テラバイト超、ファイル数にして約160万件のデータを窃取したと主張しています。
3週間に及んだ交渉の中で、被害組織は当初提示していた10万ドルから43万ドルまで金額を引き上げましたが、最終的には厳格な期限と100万ドルの身代金支払いを受け入れ、6月13日にビットコインで支払いが行われました。
攻撃者は情報公開の脅しで被害組織にプレッシャーをかける一方、期限設定やアクセス証明の提示については自らの主導権を維持し続けました。
Ransom-ISACは「被害組織の対応は、法務・経営陣・財務・広報の各部門による意思決定の調整を進めながら時間を稼いでいた組織に典型的なものです」と指摘しています。
この反ランサムウェア組織によると、今回の事案は恐喝攻撃であり、ファイルを暗号化するタイプのランサムウェアは関与していなかったとのことです。攻撃者が提示したデータ削除の証明は、網羅的というより選択的なものに見えるものの、提供されたリストの内容自体は実際のファイルサーバーから収集されたものと一致しているとみられます。
Ransom-ISACによれば、提示された削除証明はデータのコピーを消去するだけでも作成可能であり、削除を独立して検証する手段は提供されなかったとしています。
Ransom-ISACは被害組織の名前を明らかにしていませんが、交渉記録では「非常に限られたリソースしか持たない小規模な郡」と記されています。
報道によると、被害を受けた政府機関はオハイオ州ユニオン郡であるとみられています。同郡は9月、2025年5月に発生したランサムウェア攻撃で個人情報が窃取されたとして、45,487人に通知を行いました(PDF)。
流出した情報には、氏名、生年月日、運転免許証・州発行ID番号、パスポート番号、社会保障番号、金融口座情報、指紋情報、医療情報、決済カード情報が含まれていました。
SecurityWeekはユニオン郡に対しこの件についてコメントを求めるメールを送っており、郡から回答があり次第、本記事を更新する予定です。
翻訳元: https://www.securityweek.com/county-government-reportedly-paid-1-million-to-cyber-extortion-group/