Poliția Națională Olandeză a perturbat grupul de ransomware Deadbolt, recuperând cheile de decriptare a 90% dintre victimele care au contactat poliția, potrivit unui raport al Chainalysis.
Din 2021, Deadbolt a explodat întreprinderile mici și, uneori, persoane fizice, cerând răscumpărări mai mici care se pot aduna rapid. În 2022, Deadbolt a strâns cu succes peste 2.3 milioane de dolari de la aproximativ 5,000 de victime. Plata medie a răscumpărării a fost de 476 USD – mult mai mică decât media tuturor înșelătoriilor de tip ransomware, care se ridică la peste 70,000 USD.
Dezvoltatorii Deadbolt au conceput o modalitate unică de a livra chei de decriptare victimelor. Acest lucru a făcut posibilă vizarea atât de mulți - și, după cum a descoperit poliția olandeză, ar fi în cele din urmă căderea grupului.
După cum a raportat Chainalysis, Deadbolt exploatează o defecțiune de securitate a dispozitivelor de stocare atacate de rețea produse de QNAP. Odată ce dispozitivul unei victime a fost infectat, un mesaj simplu îi cere să trimită o anumită cantitate de bitcoin la o adresă de portofel.
Deadbolt trimite automat victimelor cheia de decriptare odată ce victima plătește, trimițând o cantitate mică de bitcoin la adresa de răscumpărare cu cheia de decriptare scrisă în câmpul OP_RETURN. Chainalysis consideră că dezvoltatorii au avut tranzacții preprogramate pentru a trimite 0.0000546 BTC (aproximativ 1 USD) la propria adresă de portofel de fiecare dată când o victimă plătește, astfel încât fondurile să fie disponibile pentru a comunica cheia de decriptare.
Poliția olandeză trucează sistemul Deadbolt
Această metodă destul de sofisticată este cea care a determinat Poliția Națională Olandeză să perturbe Deadbolt. Anchetatorii și-au dat seama că ar putea păcăli sistemul să returneze cheile de decriptare la sute de victime - permițându-le să recupereze datele fără a pierde efectiv răscumpărarea.
„Căutând tranzacțiile din Chainalysis, am văzut că, în unele cazuri, Deadbolt a furnizat cheia de decriptare înainte ca plata victimei să fie confirmată efectiv pe blockchain”, a spus un investigator pentru Chainalysis.
Acest lucru însemna că a existat o fereastră de aproximativ 10 minute - în timp ce tranzacția neconfirmată aștepta în mempool-ul Bitcoin - pentru a păcăli sistemul.
„O victimă ar putea trimite plata către Deadbolt, să aștepte ca Deadbolt să trimită cheia de decriptare și apoi să folosească înlocuirea cu taxă pentru a schimba tranzacția în așteptare și ca plata ransomware să revină victimei”, a spus anchetatorul.
Cu toate acestea, poliția olandeză s-a confruntat cu o problemă - probabil că au avut o singură lovitură înainte ca Deadbolt să realizeze ce se întâmplă. Așa că, împreună cu Interpol, anchetatorii au căutat rapoarte ale poliției din toată țara și din altele pentru a identifica cât mai multe victime care nu plătiseră încă răscumpărarea.
Sursa: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/