Nach Angaben von Ransom-ISAC zog sich die Verhandlung über drei Wochen hin. In dieser Zeit erhöhte die betroffene Organisation ihr Angebot von 100.000 auf 430.000 US-Dollar, akzeptierte am Ende jedoch eine harte Frist und die Forderung von 1 Million Dollar. Bezahlt wurde dem Bericht zufolge am 13. Juni in Bitcoin.

Die Angreifer setzten das Opfer laut Ransom-ISAC mit der Drohung einer öffentlichen Bloßstellung unter Druck und behielten dabei die Kontrolle über Fristen und Nachweise für ihren Zugriff. Die Reaktionen der betroffenen Stelle seien „mit einer Organisation vereinbar, die Zeit gewinnt, während rechtliche, Führungs-, finanzielle und kommunikative Entscheidungen koordiniert werden“, so Ransom-ISAC.

Die Anti-Ransomware-Organisation betont, dass es sich um einen Erpressungsangriff handelte und nicht um einen Fall dateiverschlüsselnder Ransomware. Auch die von den Tätern vorgelegten Nachweise zur Löschung der Daten bewertet Ransom-ISAC zurückhaltend: Diese wirkten selektiv, nicht umfassend. Zugleich seien die bereitgestellten Verzeichnisse mit einem tatsächlichen Abschöpfen eines Dateiservers vereinbar.

Nach Einschätzung von Ransom-ISAC könnte der vorgelegte Löschungsnachweis auch dadurch erzeugt worden sein, dass lediglich eine Kopie der Daten gelöscht wurde. Einen Mechanismus, mit dem sich die Löschung unabhängig überprüfen ließe, habe es nicht gegeben.

Ransom-ISAC nennt die betroffene Organisation nicht beim Namen. Im durchgesickerten Verhandlungsprotokoll wird sie jedoch als „ein kleines County mit sehr begrenzten Ressourcen“ beschrieben. Berichten zufolge deutet dies auf Union County im US-Bundesstaat Ohio hin.

Union County informierte im September 45.487 Personen darüber, dass ihre personenbezogenen Daten bei einem Ransomware-Angriff im Mai 2025 gestohlen wurden. Zu den betroffenen Informationen zählten Namen, Geburtsdaten, Führerschein- oder staatliche Ausweisnummern, Passnummern, Sozialversicherungsnummern, Angaben zu Finanzkonten, Fingerabdruckinformationen, medizinische Informationen und Zahlungskartendaten.

SecurityWeek erklärte, Union County um eine Stellungnahme gebeten zu haben. Der Bericht solle aktualisiert werden, falls der Landkreis antworte.