Holandská národná polícia narušila ransomvérovú skupinu Deadbolt a podľa správy Chainalysis obnovila dešifrovacie kľúče 90 % obetí, ktoré kontaktovali políciu.
Od roku 2021 sa Deadbolt živí malými podnikmi a niekedy aj jednotlivcami a požaduje menšie výkupné, ktoré sa môžu rýchlo pridať. V roku 2022 Deadbolt úspešne vyzbieral viac ako 2.3 milióna dolárov od približne 5,000 obetí. Priemerná platba výkupného bola 476 dolárov – oveľa nižšia ako priemer všetkých podvodov s ransomvérom, ktorý sa pohybuje na úrovni viac ako 70,000 XNUMX dolárov.
Vývojári Deadbolt navrhli jedinečný spôsob doručenia dešifrovacích kľúčov obetiam. To umožnilo zamerať sa na toľkých ľudí – a ako zistila holandská polícia, v konečnom dôsledku by to znamenalo pád skupiny.
Ako uvádza Chainalysis, Deadbolt využíva bezpečnostnú chybu v sieťovo napadnutých úložných zariadeniach vyrobených spoločnosťou QNAP. Akonáhle je zariadenie obete infikované, jednoduchá správa im dá pokyn, aby poslali konkrétne množstvo bitcoinov na adresu peňaženky.
Deadbolt automaticky pošle obetiam dešifrovací kľúč, keď obeť zaplatí, odoslaním malého množstva bitcoinov na výkupnú adresu s dešifrovacím kľúčom napísaným v poli OP_RETURN. Chainalysis verí, že vývojári mali vopred naprogramované transakcie na odoslanie 0.0000546 BTC (približne 1 dolár) na svoju vlastnú adresu peňaženky zakaždým, keď obeť zaplatí, aby boli k dispozícii prostriedky na komunikáciu dešifrovacieho kľúča.
Holandská polícia oklamala systém Deadbolt
Táto pomerne sofistikovaná metóda viedla holandskú národnú políciu k tomu, aby narušila Deadbolt. Vyšetrovatelia si uvedomili, že môžu oklamať systém, aby vrátil dešifrovacie kľúče stovkám obetí, čo im umožní obnoviť dáta bez toho, aby sa skutočne vykašľali na výkupné.
„Pri pohľade na transakcie v Chainalysis sme videli, že v niektorých prípadoch Deadbolt poskytoval dešifrovací kľúč predtým, ako bola platba obete skutočne potvrdená na blockchaine,“ povedal vyšetrovateľ Chainalysis.
To znamenalo, že existovalo asi 10-minútové okno – zatiaľ čo nepotvrdená transakcia čakala v bitcoinovom mempoole – na oklamanie systému.
"Obeť mohla poslať platbu spoločnosti Deadbolt, počkať, kým Deadbolt odošle dešifrovací kľúč, a potom použiť náhradu za poplatok na zmenu čakajúcej transakcie a nechať platbu za ransomvér vrátiť obeti," uviedol vyšetrovateľ.
Holandská polícia však čelila jednému problému - pravdepodobne mali iba jeden výstrel, kým si Deadbolt uvedomil, čo sa deje. Vyšetrovatelia teda spolu s Interpolom prehľadali policajné správy z celej krajiny a ďalších, aby identifikovali čo najviac obetí, ktoré ešte nezaplatili výkupné.
Prečítajte si viac: Coinbase nesúhlasí s takmer 4 miliónovou pokutou od holandskej centrálnej banky
„Napísali sme skript na automatické odoslanie transakcie do Deadbolt, počkanie na ďalšiu transakciu s dešifrovacím kľúčom na oplátku a použitie RBF na našu platobnú transakciu. Keďže sme to nemohli otestovať na Deadbolt, museli sme to spustiť na testovacích sieťach, aby sme sa uistili, že to funguje,“ povedal vyšetrovateľ.
Keď holandská polícia nasadila skript, netrvalo dlho, kým sa Deadbolt chytil a zastavil svoju automatizovanú metódu doručovania dešifrovacích kľúčov cez OP_RETURN. Ale vďaka koordinovanému úsiliu sa takmer 90 % obetí podarilo polícii obnoviť ich údaje a vyhnúť sa plateniu výkupného. Podľa úradov stratil Deadbolt „stovky tisíc dolárov“.
Holandská polícia chce verejnosti pripomenúť, aby nahlásila počítačovú kriminalitu – napokon len na základe policajných správ bolo možné identifikovať obete. Mnoho obetí Deadbolt, ktoré nikdy nepodali policajné správy, nebolo schopných získať späť platby za výkupné.
Pokiaľ ide o Deadbolt, stále funguje. Gang je však nútený prijať rôzne metódy doručovania dešifrovacích kľúčov, čím sa zvyšuje jeho réžia.
Pre viac informovaných noviniek nás sledujte Twitter a Správy Google alebo sa prihláste na odber našich YouTube kanála.
Zdroj: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/