Холандската национална полиция е прекъснала групата за рансъмуер Deadbolt, възстановявайки ключовете за дешифриране на 90% от жертвите, които са се свързали с полицията, според доклад на Chainalysis.
От 2021 г. насам Deadbolt преследва малки предприятия, а понякога и физически лица, изисквайки по-малки откупи, които могат бързо да се натрупат. През 2022 г. Deadbolt успешно събра повече от 2.3 милиона долара от около 5,000 жертви. Средното плащане на откуп беше 476 долара – много по-ниско от средното за всички измами с рансъмуер, което възлиза на над 70,000 XNUMX долара.
Разработчиците на Deadbolt създадоха уникален начин за доставяне на ключове за дешифриране на жертвите. Това направи възможно насочването към толкова много - и както откри холандската полиция, в крайна сметка щеше да доведе до краха на групата.
Както се съобщава от Chainalysis, Deadbolt използва пропуск в сигурността в мрежово атакувани устройства за съхранение, направени от QNAP. След като устройството на жертвата бъде заразено, просто съобщение ги инструктира да изпратят определено количество биткойни на адрес на портфейла.
Deadbolt автоматично изпраща на жертвите ключа за декриптиране, след като жертвата плати, като изпрати малко количество биткойни до адреса за откуп с ключа за декриптиране, написан в полето OP_RETURN. Chainalysis вярва, че разработчиците са имали предварително програмирани транзакции за изпращане на 0.0000546 BTC (около $1) до собствения адрес на портфейла всеки път, когато жертвата плати, така че средствата да са налични за предаване на ключа за дешифриране.
Холандски полицейски трик Система Deadbolt
Този доста сложен метод е това, което накара холандската национална полиция да прекъсне Deadbolt. Разследващите разбраха, че могат да подмамят системата да върне ключове за декриптиране на стотици жертви - позволявайки им да възстановят данни, без всъщност да изкашлят откупа.
„Преглеждайки транзакциите в Chainalysis, ние видяхме, че в някои случаи Deadbolt е предоставял ключа за декриптиране, преди плащането на жертвата действително да бъде потвърдено в блокчейна“, каза следовател пред Chainalysis.
Това означаваше, че има около 10-минутен прозорец — докато непотвърдената транзакция чака в мемпула на Биткойн — за да подмами системата.
„Жертва може да изпрати плащането на Deadbolt, да изчака Deadbolt да изпрати ключа за дешифриране и след това да използва замяна с такса, за да промени чакащата транзакция и плащането за рансъмуер да се върне обратно на жертвата“, каза следователят.
Холандската полиция обаче се сблъска с един проблем - вероятно имаше само един изстрел, преди Deadbolt да разбере какво се случва. Така че, заедно с Интерпол, следователите претърсиха полицейски доклади от цялата страна и други, за да идентифицират възможно най-много жертви, които все още не са платили откупа.
Чети повече: Coinbase не е съгласна с глоба от почти $4 милиона от холандската централна банка
„Написахме скрипт за автоматично изпращане на транзакция към Deadbolt, изчакване на друга транзакция с ключа за дешифриране в замяна и използване на RBF за нашата платежна транзакция. Тъй като не можахме да го тестваме на Deadbolt, трябваше да го пуснем в тестови мрежи, за да сме сигурни, че работи“, каза изследователят.
След като холандската полиция внедри скрипта, не отне много време на Deadbolt да хване и спре своя автоматизиран метод за доставяне на ключове за дешифриране чрез OP_RETURN. Но благодарение на координираните усилия почти 90% от полицията на жертвите успя да възстанови данните си и да избегне плащането на откупа. Според властите Deadbolt е загубил „стотици хиляди долари“.
Холандската полиция има желание да напомня на обществеността да докладва за киберпрестъпления - в края на краищата жертвите могат да бъдат идентифицирани само чрез полицейски доклади. Много жертви на Deadbolt, които никога не са подали доклади в полицията, не са успели да възстановят плащанията за откуп.
Що се отнася до Deadbolt, той все още работи. Бандата обаче е принудена да възприеме различни методи за доставяне на ключове за декриптиране, което увеличава режийните разходи.
За по-информирани новини, последвайте ни Twitter намлява Google Новини или се абонирайте за нашите YouTube канал.
Източник: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/