Nizozemska nacionalna policija razbila je skupinu ransomwarea Deadbolt, povrativši ključeve za dešifriranje 90% žrtava koje su kontaktirale policiju, prema izvješću Chainalysisa.
Od 2021. Deadbolt lovi mala poduzeća, a ponekad i pojedince, tražeći manje otkupnine koje se mogu brzo zbrojiti. U 2022. Deadbolt je uspješno prikupio više od 2.3 milijuna dolara od oko 5,000 žrtava. Prosječna isplata otkupnine iznosila je 476 USD - daleko niže od prosjeka za sve prijevare s ransomwareom, koji iznosi preko 70,000 USD.
Programeri Deadbolta osmislili su jedinstven način da žrtvama dostave ključeve za dešifriranje. To je omogućilo ciljanje tolikog broja ljudi - i kako je otkrila nizozemska policija, to bi na kraju značilo pad skupine.
Kako izvješćuje Chainalysis, Deadbolt iskorištava sigurnosni propust u mrežno napadnutim uređajima za pohranu koje je napravio QNAP. Nakon što je žrtvin uređaj zaražen, jednostavna poruka upućuje je da pošalje određenu količinu bitcoina na adresu novčanika.
Deadbolt automatski šalje žrtvama ključ za dešifriranje nakon što žrtva plati slanjem male količine bitcoina na adresu za otkupninu s ključem za dešifriranje napisanim u polju OP_RETURN. Chainalysis vjeruje da su programeri imali unaprijed programirane transakcije za slanje 0.0000546 BTC (oko 1 USD) na vlastitu adresu novčanika svaki put kada žrtva plati, tako da su sredstva dostupna za komunikaciju ključa za dešifriranje.
Nizozemski policijski trik Deadbolt sustav
Ova prilično sofisticirana metoda navela je nizozemsku nacionalnu policiju da prekine Deadbolt. Istražitelji su shvatili da mogu prevariti sustav da vrati ključeve za dešifriranje stotinama žrtava - omogućujući im da povrate podatke bez da zapravo iskašljaju otkupninu.
“Pregledavajući transakcije u Chainalysisu, vidjeli smo da je u nekim slučajevima Deadbolt davao ključ za dešifriranje prije nego što je žrtvino plaćanje stvarno potvrđeno na blockchainu,” rekao je istražitelj za Chainalysis.
To je značilo da je postojao prozor od oko 10 minuta — dok je nepotvrđena transakcija čekala u Bitcoinovom mempoolu — da prevari sustav.
“Žrtva bi mogla poslati uplatu Deadboltu, pričekati da Deadbolt pošalje ključ za dešifriranje, a zatim upotrijebiti zamjenu za naknadu za promjenu transakcije na čekanju, a plaćanje ransomwareom vratiti žrtvi”, rekao je istražitelj.
Međutim, nizozemska policija suočila se s jednim problemom — vjerojatno su imali samo jedan hitac prije nego što bi Deadbolt shvatio što se događa. Tako su zajedno s Interpolom istražitelji pretražili policijska izvješća iz cijele zemlje i drugih kako bi identificirali što više žrtava koje još nisu platile otkupninu.
Izvor: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/