Die Indizien decken sich mit einem realen Vorfall: Union County, Ohio, teilte im Mai 2025 mit, Ransomware im eigenen Netzwerk entdeckt zu haben. Später informierte der Landkreis 45.487 Einwohner und Beschäftigte darüber, dass ihre Daten entwendet wurden. Betroffen war damit der Großteil des Landkreises mit rund 70.000 Einwohnern. Zu den gestohlenen Daten gehörten Sozialversicherungs- und Finanzangaben ebenso wie Fingerabdrücke und Passnummern.
Weder der Landkreis noch Kairos haben den Zusammenhang laut Bericht bestätigt. Sollte er zutreffen, hätte eine Kreisverwaltung rund 1 Million US-Dollar gezahlt, ohne dies öffentlich offenzulegen. The Hacker News hat das Büro der County Commissioners von Union County um eine Stellungnahme gebeten.
Die Verhandlungen liefen etwa einen Monat. Kairos startete mit einer Forderung von 3 Millionen US-Dollar und behauptete, mehr als 2 Terabyte an Daten mit rund 1,6 Millionen Dateien zu besitzen. Der Landkreis bot zunächst 100.000 US-Dollar, erhöhte dann auf 255.000 und später auf 430.000 US-Dollar. Kairos reduzierte die Forderung zunächst auf 2 Millionen US-Dollar und setzte schließlich eine feste Endsumme von 1 Million US-Dollar fest, zahlbar bis Freitag, andernfalls würden die Dateien veröffentlicht.
Nach Darstellung des Fallberichts setzte die Gruppe dabei auf bekannte Druckmittel: einen Countdown, knappe Fristen und die Drohung, zuerst die sensibelsten Ordner offenzulegen. Gezahlt wurde am 13. Juni 2025. Das entsprach dem Zehnfachen des ersten Angebots der betroffenen Stelle.
Die Zahlung belief sich auf rund 9,44 Bitcoin, damals etwa 1 Million US-Dollar wert. Krishnan verfolgte den weiteren Geldfluss auf der Blockchain. Binnen weniger Stunden wurde der Betrag in zwei Teile aufgespalten und über eine Kette von Wallets an Einzahlungsadressen weitergeleitet, die den Kryptobörsen Bybit und OKX sowie dem russischen Dienst BELQI zugeordnet werden.
Krishnan betont jedoch, dass solche Analysen Ermittlern Anhaltspunkte liefern, aber keine Namen. Zudem erhielt das Opfer für die Zahlung keinen belastbaren Nachweis. Kairos übermittelte zwar eine Datei als angeblichen „Löschbeleg“, doch die darin enthaltene Liste von Dateinamen zeige nur, dass der Angreifer die Dateien einmal besaß — nicht, dass die Originale tatsächlich gelöscht wurden.
Gerade darin sieht der Bericht eine Verschiebung gegenüber klassischer Ransomware. Union County sprach von Ransomware, doch im Kairos-Fall wurde nichts verschlüsselt. Der Hebel war allein der Besitz gestohlener Daten. Sophos berichtete 2025, dass nur noch etwa die Hälfte aller Ransomware-Angriffe überhaupt eine Verschlüsselung umfasst — der niedrigste Wert seit sechs Jahren. Manche Gruppen hätten diesen Schritt ganz aufgegeben. Als Beispiel nennt der Bericht die Silent Ransom Group, einen Ableger von Conti, die seit Jahren reine Datendiebstahl-Erpressung gegen US-Kanzleien und Finanzfirmen betreibt.
Auch das Verhandlungsmuster ist laut Krishnan nicht neu. Nach dem Leak interner Chats von Black Basta im Februar 2025 zeigte eine Analyse ebenfalls einen Verlauf von einer Forderung über 1,5 Millionen US-Dollar, einem Gegenangebot von 100.000 US-Dollar und einer Zahlung von 1 Million US-Dollar. Solche Leaks, ebenso wie die Conti-Leaks von 2022, geben Forschern Einblick, wie solche Absprachen tatsächlich zustande kommen.
Kairos selbst ist inzwischen weitgehend verstummt. Die Leak-Seite ist offline, und das letzte bekannte Opfer tauchte im Juni 2026 auf. Eine mit der Operation verbundene Wallet bewegte laut Bericht aber noch im Mai 2026 Geld.
