Nizozemská národní policie narušila skupinu ransomwaru Deadbolt a obnovila dešifrovací klíče 90 % obětí, které kontaktovaly policii, podle zprávy Chainalysis.
Od roku 2021 Deadbolt loví malé podniky a někdy i jednotlivce a požaduje menší výkupné, které se mohou rychle přidat. V roce 2022 Deadbolt úspěšně vybral více než 2.3 milionu dolarů od zhruba 5,000 obětí. Průměrná platba výkupného byla 476 USD – mnohem nižší než průměr všech podvodů s ransomwarem, který se pohybuje na úrovni více než 70,000 XNUMX USD.
Vývojáři Deadbolt navrhli jedinečný způsob, jak doručit dešifrovací klíče obětem. To umožnilo zaměřit se na tolik lidí – a jak zjistila nizozemská policie, znamenalo by to v konečném důsledku pád skupiny.
Jak uvádí Chainalysis, Deadbolt využívá bezpečnostní chybu v síťově napadených úložných zařízeních od QNAP. Jakmile je zařízení oběti infikováno, jednoduchá zpráva jim dá pokyn, aby poslali konkrétní množství bitcoinů na adresu peněženky.
Deadbolt automaticky pošle obětem dešifrovací klíč, jakmile oběť zaplatí, zasláním malého množství bitcoinů na výkupnou adresu s dešifrovacím klíčem zapsaným v poli OP_RETURN. Chainalysis věří, že vývojáři měli předem naprogramované transakce k odeslání 0.0000546 BTC (kolem 1 dolaru) na adresu její vlastní peněženky pokaždé, když oběť zaplatí, takže jsou k dispozici prostředky na sdělení dešifrovacího klíče.
Nizozemská policie oklamala systém Deadbolt
Tato poměrně sofistikovaná metoda vedlo nizozemskou národní policii k narušení Deadbolt. Vyšetřovatelé si uvědomili, že mohou systém oklamat, aby vrátil dešifrovací klíče stovkám obětí – což jim umožnilo obnovit data, aniž by se skutečně vykašlali na výkupné.
"Při procházení transakcí v Chainalysis jsme viděli, že v některých případech Deadbolt poskytoval dešifrovací klíč předtím, než byla platba oběti skutečně potvrzena na blockchainu," řekl vyšetřovatel Chainalysis.
To znamenalo, že existovalo asi 10minutové okno – zatímco nepotvrzená transakce čekala v bitcoinovém mempoolu – na oklamání systému.
"Oběť by mohla poslat platbu Deadboltovi, počkat, až Deadbolt odešle dešifrovací klíč, a pak použít náhradu za poplatek ke změně čekající transakce a nechat platbu za ransomware vrátit oběti," řekl vyšetřovatel.
Nizozemská policie však čelila jednomu problému – pravděpodobně měla pouze jeden výstřel, než si Deadbolt uvědomil, co se děje. Vyšetřovatelé tedy společně s Interpolem prohledávali policejní zprávy z celé země a dalších, aby identifikovali co nejvíce obětí, které dosud nezaplatily výkupné.
Čtěte více: Coinbase nesouhlasí s téměř 4 miliony dolarů pokutou od nizozemské centrální banky
„Napsali jsme skript, který automaticky odešle transakci do Deadbolt, čeká na další transakci s dešifrovacím klíčem na oplátku a použije RBF na naši platební transakci. Protože jsme to nemohli otestovat na Deadbolt, museli jsme to spustit na testovacích sítích, abychom se ujistili, že to funguje,“ řekl vyšetřovatel.
Jakmile nizozemská policie nasadila skript, netrvalo dlouho, než se Deadbolt chytil a zastavil svou automatizovanou metodu doručování dešifrovacích klíčů prostřednictvím OP_RETURN. Ale díky koordinovanému úsilí se téměř 90 % obětí policistům podařilo obnovit jejich data a vyhnout se placení výkupného. Podle úřadů ztratil Deadbolt „stovky tisíc dolarů“.
Nizozemská policie by ráda připomněla veřejnosti, aby hlásila kyberzločin – koneckonců pouze na základě policejních zpráv bylo možné identifikovat oběti. Mnoho obětí Deadbolt, které nikdy nepodalo policejní hlášení, nebylo schopno získat zpět platby za výkupné.
Pokud jde o Deadbolt, stále funguje. Gang je však nucen přijmout různé metody doručování dešifrovacích klíčů, což zvyšuje jeho režii.
Pro více informovaných novinek nás sledujte na X a zprávy Google nebo se přihlaste k odběru Youtube kanálu.
Zdroj: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/