دفعت هيئة حكومية أمريكية حوالي مليون دولار لمنع تسرب الملفات المسروقة، وفقًا لدراسة حالة جديدة أجراها راكيش كريشنان لصالح Ransom-ISAC، مبنية على محادثة تفاوض مسربة وتتبع blockchain للدفعة المتبقية.
الجزء الغريب: المجموعة التي أخذت المال تسمي نفسها كايروس، لكنها قد لا تكون عصابة برامج فدية على الإطلاق. لم يجد كريشنان أي علامة تشير إلى أنه قام بقفل جهاز واحد: لا يوجد تشفير، ولا خزانة، ولا طلب لمفتاح فك التشفير. كان التهديد أبسط. سرقة الملفات ثم اتهام الضحية بعدم نشرها.
لم يذكر كريشنان اسم الضحية، لكن الدردشة تشير إلى مقاطعة يونيون بولاية أوهايو. تحمل ملفات إثبات السرقة أسماء مثل Union.xlsx، و1 union co psi template.doc، وأرشيف نهائي يسمى union.rar. الضحية تسمي نفسها مقاطعة صغيرة ذات موارد محدودة. ويتكئ المهاجم على مجلد واحد على وجه الخصوص، يحمل علامة “مكتب المدعي العام”، محذرًا من أن تسريبه سيساعد المجرمين على تفادي التهم.
القرائن تناسب حالة حقيقية. في مايو 2025، قالت مقاطعة يونيون بولاية أوهايو إنها اكتشفت برامج فدية على شبكتها وأخطرت لاحقًا 45487 من السكان والموظفين بأن بياناتهم قد تم الاستيلاء عليها، مما أثر على معظم المقاطعة التي يبلغ عدد سكانها حوالي 70000 نسمة. تتراوح السجلات المسروقة من الضمان الاجتماعي والتفاصيل المالية إلى بصمات الأصابع وأرقام جوازات السفر.
ولم تؤكد المقاطعة ولا كايروس هذا الاتصال. ولكن إذا استمر الأمر، فإن حكومة المقاطعة دفعت حوالي مليون دولار لم تكشف عنها علنًا. اتصلت The Hacker News بمكتب مفوضي مقاطعة Union للتعليق. سيتم تحديث هذه القصة مع أي رد.
واستمرت المفاوضات لمدة شهر تقريبا. افتتحت Kairos بمبلغ 3 ملايين دولار، وزعمت أنها تحتوي على أكثر من 2 تيرابايت من البيانات، أي حوالي 1.6 مليون ملف. بدأت المقاطعة بمبلغ 100 ألف دولار، ثم تسللت إلى 255 ألف دولار، ثم 430 ألف دولار. انخفض مبلغ كايروس إلى مليوني دولار، ثم حدد رقمًا نهائيًا صعبًا: مليون دولار، ادفع بحلول يوم الجمعة، أو تصبح الملفات علنية.
![]() |
| الدفع عبر السلسلة: حوالي 9.44 BTC تصل إلى المحفظة المرتبطة بـ Kairos. |
لقد استخدمت الأدوات المعتادة: مؤقت العد التنازلي، والمواعيد النهائية الضيقة، والتهديدات بتفريغ المجلدات الأكثر حساسية أولاً. دفعت المقاطعة في 13 يونيو 2025 عشرة أضعاف عرضها الأول.
وبلغت قيمة الدفعة حوالي 9.44 بيتكوين، أي ما يعادل حوالي مليون دولار في ذلك الوقت. تتبع كريشنان الأموال من هناك. وفي غضون ساعات، تم تقسيمها إلى قسمين وتم دفعها عبر سلسلة من المحافظ نحو عناوين الإيداع المرتبطة ببورصات العملات المشفرة Bybit وOKX وخدمة روسية تسمى BELQI.
هذا النوع من تعقب أيدي المحققين، وليس الأسماء. والمال اشترى شيئا صلبا. أرسل كايروس ملف “إثبات الحذف”، لكن قائمة أسماء الملفات تظهر فقط أن المهاجم كان لديه الملفات في السابق، وليس أن النسخ الأصلية قد تم مسحها. إن الدفع مقابل إخفاء البيانات المسروقة هو عمل من أعمال الإيمان، ويتم كتابة الإيصال بواسطة اللص.

أطلقت Union County على ما حدث لها اسم برنامج الفدية، وهي الكلمة التي يستخدمها الجميع، ولكن في حالة Kairos، لم يتم قفل أي شيء. وهذا هو التحول الحقيقي: فالكثير مما يسمى ببرامج الفدية يتخطى الآن التشفير ويستخدم البيانات المسروقة نفسها كنقطة ضغط.
وأفادت سوفوس في عام 2025 أن حوالي نصف هجمات برامج الفدية فقط لا تزال تنطوي على أي تشفير، وهو أدنى معدل منذ ست سنوات. بعض الطواقم أسقطتها بالكامل. أمضت مجموعة Silent Ransom Group، وهي فرع من فروع شركة Conti، سنوات في إدارة عمليات ابتزاز خالصة لسرقة البيانات ضد شركات القانون والتمويل الأمريكية دون الحاجة إلى تشفير على الإطلاق.
تتناسب دردشة كايروس مع نمط التفاوض المألوف أيضًا. عندما تسربت محادثات Black Basta الداخلية في فبراير 2025، كشف تحليل الرسائل عن صفقة تراوحت بين طلب بقيمة 1.5 مليون دولار وعداد 100000 دولار ودفع مليون دولار، وهو نفس القوس تقريبًا. هذه الدردشات، وتسريبات كونتي التي سبقتها في عام 2022، هي الطريقة التي يعيد بها الباحثون الآن بناء الطريقة التي يتم بها إبرام هذه الصفقات فعليًا.
لقد أصبحت كايروس نفسها هادئة. موقع التسريب معطل، وظهرت آخر ضحية معروفة له في يونيو 2026. لكن المحفظة المرتبطة بالعملية كانت لا تزال تنقل الأموال حتى مايو 2026، وهو تذكير بأن موقع التسريب المظلم ليس مثل طاقم ميت.
بالنسبة لأي شخص يدير شبكة حكومية صغيرة، فإن الدروس مملة ومألوفة، وهذا هو بيت القصيد. قم بتشغيل المصادقة متعددة العوامل، حيث ادعى Kairos أنه تم الدخول بمجرد تخمين كلمة المرور.
راقب عمليات تسجيل الدخول الفاشلة المتكررة، وعمليات نقل البيانات الصادرة بكميات كبيرة، وروابط مشاركة الملفات مثل عناوين temp.sh التي يستخدمها Kairos لنقل الملفات. احتفظ بالسجلات القانونية، وسجلات الموارد البشرية، وسجلات المواطنين معزولة عن بقية الشبكة. قم بإعداد خطة بيان عام قبل أن تحتاج إليها. وتعامل مع أي وعد بحذف البيانات المسروقة على أنه لا قيمة له على الإطلاق.

