Według raportu Chainalysis, holenderska policja narodowa zakłóciła działanie grupy ransomware Deadbolt, odzyskując klucze deszyfrujące 90% ofiar, które skontaktowały się z policją.
Od 2021 roku Deadbolt żeruje na małych firmach, a czasem na osobach prywatnych, żądając mniejszych okupów, które szybko się sumują. W 2022 roku Deadbolt z powodzeniem zebrał ponad 2.3 miliona dolarów od około 5,000 ofiar. Średnia płatność okupu wyniosła 476 USD — znacznie mniej niż średnia wszystkich oszustw związanych z oprogramowaniem ransomware, która wynosi ponad 70,000 XNUMX USD.
Twórcy Deadbolt zaprojektowali unikalny sposób dostarczania ofiarom kluczy deszyfrujących. Umożliwiło to namierzenie tak wielu osób — i jak odkryła holenderska policja, ostatecznie doprowadziłoby to do upadku grupy.
Jak donosi Chainalysis, Deadbolt wykorzystuje lukę w zabezpieczeniach zaatakowanych sieciowo urządzeń pamięci masowej firmy QNAP. Po zainfekowaniu urządzenia ofiary prosta wiadomość nakazuje jej wysłanie określonej kwoty bitcoinów na adres portfela.
Deadbolt automatycznie wysyła ofiarom klucz deszyfrujący, gdy ofiara zapłaci, wysyłając niewielką ilość bitcoinów na adres okupu z kluczem deszyfrującym zapisanym w polu OP_RETURN. Chainalysis uważa, że programiści mieli zaprogramowane transakcje, aby wysyłać 0.0000546 BTC (około 1 USD) na własny adres portfela za każdym razem, gdy ofiara płaci, aby dostępne były środki na przekazanie klucza deszyfrującego.
Holenderska policja oszukała system Deadbolt
Ta dość wyrafinowana metoda doprowadziła holenderską policję do zakłócenia działania Deadbolt. Śledczy zdali sobie sprawę, że mogą oszukać system, aby zwrócił klucze deszyfrujące setkom ofiar, umożliwiając im odzyskanie danych bez faktycznego wypluwania okupu.
„Przeglądając transakcje w Chainalysis, zauważyliśmy, że w niektórych przypadkach Deadbolt dostarczał klucz deszyfrujący, zanim płatność ofiary została faktycznie potwierdzona na blockchainie” – powiedział Chainalysis śledczy.
Oznaczało to, że istniało około 10-minutowe okno — podczas gdy niepotwierdzona transakcja czekała w pamięci Bitcoina — na oszukanie systemu.
„Ofiara może wysłać płatność do Deadbolt, poczekać, aż Deadbolt wyśle klucz odszyfrowywania, a następnie użyć metody zamiany na opłatę, aby zmienić oczekującą transakcję i sprawić, by płatność za oprogramowanie ransomware wróciła do ofiary” – powiedział śledczy.
Holenderska policja napotkała jednak jeden problem — prawdopodobnie mieli tylko jeden strzał, zanim Deadbolt zdał sobie sprawę, co się dzieje. Tak więc, wspólnie z Interpolem, śledczy przeszukali raporty policyjne z całego kraju i innych krajów, aby zidentyfikować jak najwięcej ofiar, które nie zapłaciły jeszcze okupu.
Czytaj więcej: Coinbase nie zgadza się z prawie 4-milionową grzywną nałożoną przez holenderski bank centralny
„Napisaliśmy skrypt, który automatycznie wysyła transakcję do Deadbolt, czeka na kolejną transakcję z kluczem deszyfrującym i używa RBF w naszej transakcji płatniczej. Ponieważ nie mogliśmy przetestować go na Deadbolt, musieliśmy uruchomić go w sieciach testowych, aby upewnić się, że działa” – powiedział śledczy.
Gdy holenderska policja wdrożyła skrypt, Deadbolt szybko wychwycił i zatrzymał zautomatyzowaną metodę dostarczania kluczy deszyfrujących za pośrednictwem OP_RETURN. Jednak dzięki skoordynowanym wysiłkom prawie 90% ofiar policji było w stanie odzyskać swoje dane i uniknąć płacenia okupu. Według władz Deadbolt stracił „setki tysięcy dolarów”.
Holenderska policja chętnie przypomina opinii publicznej o zgłaszaniu cyberprzestępstw — w końcu ofiary można było zidentyfikować tylko na podstawie raportów policyjnych. Wiele ofiar Deadbolt, które nigdy nie złożyły raportów policyjnych, nie było w stanie odzyskać okupu.
Jeśli chodzi o Deadbolt, nadal działa. Jednak gang jest zmuszony przyjąć różne metody dostarczania kluczy deszyfrujących, co zwiększa jego koszty ogólne.
Aby uzyskać więcej informacji, śledź nas na Twitter i wiadomości Google lub subskrybuj nasz YouTube kanał.
Źródło: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/