Holandská národná polícia narušila ransomvérovú skupinu Deadbolt a podľa správy Chainalysis obnovila dešifrovacie kľúče 90 % obetí, ktoré kontaktovali políciu.
Od roku 2021 sa Deadbolt živí malými podnikmi a niekedy aj jednotlivcami a požaduje menšie výkupné, ktoré sa môžu rýchlo pridať. V roku 2022 Deadbolt úspešne vyzbieral viac ako 2.3 milióna dolárov od približne 5,000 obetí. Priemerná platba výkupného bola 476 dolárov – oveľa nižšia ako priemer všetkých podvodov s ransomvérom, ktorý sa pohybuje na úrovni viac ako 70,000 XNUMX dolárov.
Vývojári Deadbolt navrhli jedinečný spôsob doručenia dešifrovacích kľúčov obetiam. To umožnilo zamerať sa na toľkých ľudí – a ako zistila holandská polícia, v konečnom dôsledku by to znamenalo pád skupiny.
Ako uvádza Chainalysis, Deadbolt využíva bezpečnostnú chybu v sieťovo napadnutých úložných zariadeniach vyrobených spoločnosťou QNAP. Akonáhle je zariadenie obete infikované, jednoduchá správa im dá pokyn, aby poslali konkrétne množstvo bitcoinov na adresu peňaženky.
Deadbolt automaticky pošle obetiam dešifrovací kľúč, keď obeť zaplatí, odoslaním malého množstva bitcoinov na výkupnú adresu s dešifrovacím kľúčom napísaným v poli OP_RETURN. Chainalysis verí, že vývojári mali vopred naprogramované transakcie na odoslanie 0.0000546 BTC (približne 1 dolár) na svoju vlastnú adresu peňaženky zakaždým, keď obeť zaplatí, aby boli k dispozícii prostriedky na komunikáciu dešifrovacieho kľúča.
Holandská polícia oklamala systém Deadbolt
Táto pomerne sofistikovaná metóda viedla holandskú národnú políciu k tomu, aby narušila Deadbolt. Vyšetrovatelia si uvedomili, že môžu oklamať systém, aby vrátil dešifrovacie kľúče stovkám obetí, čo im umožní obnoviť dáta bez toho, aby sa skutočne vykašľali na výkupné.
„Pri pohľade na transakcie v Chainalysis sme videli, že v niektorých prípadoch Deadbolt poskytoval dešifrovací kľúč predtým, ako bola platba obete skutočne potvrdená na blockchaine,“ povedal vyšetrovateľ Chainalysis.
To znamenalo, že existovalo asi 10-minútové okno – zatiaľ čo nepotvrdená transakcia čakala v bitcoinovom mempoole – na oklamanie systému.
"Obeť mohla poslať platbu spoločnosti Deadbolt, počkať, kým Deadbolt odošle dešifrovací kľúč, a potom použiť náhradu za poplatok na zmenu čakajúcej transakcie a nechať platbu za ransomvér vrátiť obeti," uviedol vyšetrovateľ.
Holandská polícia však čelila jednému problému - pravdepodobne mali iba jeden výstrel, kým si Deadbolt uvedomil, čo sa deje. Vyšetrovatelia teda spolu s Interpolom prehľadali policajné správy z celej krajiny a ďalších, aby identifikovali čo najviac obetí, ktoré ešte nezaplatili výkupné.
Zdroj: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/