Nizozemská národní policie narušila skupinu ransomwaru Deadbolt a obnovila dešifrovací klíče 90 % obětí, které kontaktovaly policii, podle zprávy Chainalysis.
Od roku 2021 Deadbolt loví malé podniky a někdy i jednotlivce a požaduje menší výkupné, které se mohou rychle přidat. V roce 2022 Deadbolt úspěšně vybral více než 2.3 milionu dolarů od zhruba 5,000 obětí. Průměrná platba výkupného byla 476 USD – mnohem nižší než průměr všech podvodů s ransomwarem, který se pohybuje na úrovni více než 70,000 XNUMX USD.
Vývojáři Deadbolt navrhli jedinečný způsob, jak doručit dešifrovací klíče obětem. To umožnilo zaměřit se na tolik lidí – a jak zjistila nizozemská policie, znamenalo by to v konečném důsledku pád skupiny.
Jak uvádí Chainalysis, Deadbolt využívá bezpečnostní chybu v síťově napadených úložných zařízeních od QNAP. Jakmile je zařízení oběti infikováno, jednoduchá zpráva jim dá pokyn, aby poslali konkrétní množství bitcoinů na adresu peněženky.
Deadbolt automaticky pošle obětem dešifrovací klíč, jakmile oběť zaplatí, zasláním malého množství bitcoinů na výkupnou adresu s dešifrovacím klíčem zapsaným v poli OP_RETURN. Chainalysis věří, že vývojáři měli předem naprogramované transakce k odeslání 0.0000546 BTC (kolem 1 dolaru) na adresu její vlastní peněženky pokaždé, když oběť zaplatí, takže jsou k dispozici prostředky na sdělení dešifrovacího klíče.
Nizozemská policie oklamala systém Deadbolt
Tato poměrně sofistikovaná metoda vedlo nizozemskou národní policii k narušení Deadbolt. Vyšetřovatelé si uvědomili, že mohou systém oklamat, aby vrátil dešifrovací klíče stovkám obětí – což jim umožnilo obnovit data, aniž by se skutečně vykašlali na výkupné.
"Při procházení transakcí v Chainalysis jsme viděli, že v některých případech Deadbolt poskytoval dešifrovací klíč předtím, než byla platba oběti skutečně potvrzena na blockchainu," řekl vyšetřovatel Chainalysis.
To znamenalo, že existovalo asi 10minutové okno – zatímco nepotvrzená transakce čekala v bitcoinovém mempoolu – na oklamání systému.
"Oběť by mohla poslat platbu Deadboltovi, počkat, až Deadbolt odešle dešifrovací klíč, a pak použít náhradu za poplatek ke změně čekající transakce a nechat platbu za ransomware vrátit oběti," řekl vyšetřovatel.
Nizozemská policie však čelila jednomu problému – pravděpodobně měla pouze jeden výstřel, než si Deadbolt uvědomil, co se děje. Vyšetřovatelé tedy společně s Interpolem prohledávali policejní zprávy z celé země a dalších, aby identifikovali co nejvíce obětí, které dosud nezaplatily výkupné.
Zdroj: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/