Poliția Națională Olandeză a perturbat grupul de ransomware Deadbolt, recuperând cheile de decriptare a 90% dintre victimele care au contactat poliția, potrivit unui raport al Chainalysis.
Din 2021, Deadbolt a explodat întreprinderile mici și, uneori, persoane fizice, cerând răscumpărări mai mici care se pot aduna rapid. În 2022, Deadbolt a strâns cu succes peste 2.3 milioane de dolari de la aproximativ 5,000 de victime. Plata medie a răscumpărării a fost de 476 USD – mult mai mică decât media tuturor înșelătoriilor de tip ransomware, care se ridică la peste 70,000 USD.
Dezvoltatorii Deadbolt au conceput o modalitate unică de a livra chei de decriptare victimelor. Acest lucru a făcut posibilă vizarea atât de mulți - și, după cum a descoperit poliția olandeză, ar fi în cele din urmă căderea grupului.
După cum a raportat Chainalysis, Deadbolt exploatează o defecțiune de securitate a dispozitivelor de stocare atacate de rețea produse de QNAP. Odată ce dispozitivul unei victime a fost infectat, un mesaj simplu îi cere să trimită o anumită cantitate de bitcoin la o adresă de portofel.
Deadbolt trimite automat victimelor cheia de decriptare odată ce victima plătește, trimițând o cantitate mică de bitcoin la adresa de răscumpărare cu cheia de decriptare scrisă în câmpul OP_RETURN. Chainalysis consideră că dezvoltatorii au avut tranzacții preprogramate pentru a trimite 0.0000546 BTC (aproximativ 1 USD) la propria adresă de portofel de fiecare dată când o victimă plătește, astfel încât fondurile să fie disponibile pentru a comunica cheia de decriptare.
Poliția olandeză trucează sistemul Deadbolt
Această metodă destul de sofisticată este cea care a determinat Poliția Națională Olandeză să perturbe Deadbolt. Anchetatorii și-au dat seama că ar putea păcăli sistemul să returneze cheile de decriptare la sute de victime - permițându-le să recupereze datele fără a pierde efectiv răscumpărarea.
„Căutând tranzacțiile din Chainalysis, am văzut că, în unele cazuri, Deadbolt a furnizat cheia de decriptare înainte ca plata victimei să fie confirmată efectiv pe blockchain”, a spus un investigator pentru Chainalysis.
Acest lucru însemna că a existat o fereastră de aproximativ 10 minute - în timp ce tranzacția neconfirmată aștepta în mempool-ul Bitcoin - pentru a păcăli sistemul.
„O victimă ar putea trimite plata către Deadbolt, să aștepte ca Deadbolt să trimită cheia de decriptare și apoi să folosească înlocuirea cu taxă pentru a schimba tranzacția în așteptare și ca plata ransomware să revină victimei”, a spus anchetatorul.
Cu toate acestea, poliția olandeză s-a confruntat cu o problemă - probabil că au avut o singură lovitură înainte ca Deadbolt să realizeze ce se întâmplă. Așa că, împreună cu Interpol, anchetatorii au căutat rapoarte ale poliției din toată țara și din altele pentru a identifica cât mai multe victime care nu plătiseră încă răscumpărarea.
Citeşte mai mult: Coinbase nu este de acord cu o amendă de aproape 4 milioane de dolari din partea băncii centrale olandeze
„Am scris un script pentru a trimite automat o tranzacție către Deadbolt, pentru a aștepta o altă tranzacție cu cheia de decriptare în schimb și pentru a folosi RBF pentru tranzacția noastră de plată. Deoarece nu l-am putut testa pe Deadbolt, a trebuit să-l rulăm pe rețele de testare pentru a ne asigura că funcționează”, a spus anchetatorul.
Odată ce poliția olandeză a implementat scriptul, nu a durat mult până când Deadbolt să prindă și să oprească metoda sa automată de livrare a cheilor de decriptare prin OP_RETURN. Dar datorită eforturilor coordonate, aproape 90% dintre victimele poliției au reușit să-și recupereze datele și să evite să plătească răscumpărarea. Potrivit autorităților, Deadbolt a pierdut „sute de mii de dolari”.
Poliția olandeză dorește să reamintească publicului să raporteze infracțiunile cibernetice – până la urmă, victimele au putut fi identificate doar prin rapoartele poliției. Multe victime Deadbolt care nu au depus niciodată rapoarte la poliție nu au putut recupera plățile de răscumpărare.
Cât despre Deadbolt, încă funcționează. Cu toate acestea, gașca este forțată să adopte diferite metode de livrare a cheilor de decriptare, ridicându-și cheltuielile.
Pentru știri mai informate, urmăriți-ne pe Twitter și Știri Google sau abonați-vă la YouTube canal.
Sursa: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/