Nizozemska nacionalna policija razbila je skupinu ransomwarea Deadbolt, povrativši ključeve za dešifriranje 90% žrtava koje su kontaktirale policiju, prema izvješću Chainalysisa.
Od 2021. Deadbolt lovi mala poduzeća, a ponekad i pojedince, tražeći manje otkupnine koje se mogu brzo zbrojiti. U 2022. Deadbolt je uspješno prikupio više od 2.3 milijuna dolara od oko 5,000 žrtava. Prosječna isplata otkupnine iznosila je 476 USD - daleko niže od prosjeka za sve prijevare s ransomwareom, koji iznosi preko 70,000 USD.
Programeri Deadbolta osmislili su jedinstven način da žrtvama dostave ključeve za dešifriranje. To je omogućilo ciljanje tolikog broja ljudi - i kako je otkrila nizozemska policija, to bi na kraju značilo pad skupine.
Kako izvješćuje Chainalysis, Deadbolt iskorištava sigurnosni propust u mrežno napadnutim uređajima za pohranu koje je napravio QNAP. Nakon što je žrtvin uređaj zaražen, jednostavna poruka upućuje je da pošalje određenu količinu bitcoina na adresu novčanika.
Deadbolt automatski šalje žrtvama ključ za dešifriranje nakon što žrtva plati slanjem male količine bitcoina na adresu za otkupninu s ključem za dešifriranje napisanim u polju OP_RETURN. Chainalysis vjeruje da su programeri imali unaprijed programirane transakcije za slanje 0.0000546 BTC (oko 1 USD) na vlastitu adresu novčanika svaki put kada žrtva plati, tako da su sredstva dostupna za komunikaciju ključa za dešifriranje.
Nizozemski policijski trik Deadbolt sustav
Ova prilično sofisticirana metoda navela je nizozemsku nacionalnu policiju da prekine Deadbolt. Istražitelji su shvatili da mogu prevariti sustav da vrati ključeve za dešifriranje stotinama žrtava - omogućujući im da povrate podatke bez da zapravo iskašljaju otkupninu.
“Pregledavajući transakcije u Chainalysisu, vidjeli smo da je u nekim slučajevima Deadbolt davao ključ za dešifriranje prije nego što je žrtvino plaćanje stvarno potvrđeno na blockchainu,” rekao je istražitelj za Chainalysis.
To je značilo da je postojao prozor od oko 10 minuta — dok je nepotvrđena transakcija čekala u Bitcoinovom mempoolu — da prevari sustav.
“Žrtva bi mogla poslati uplatu Deadboltu, pričekati da Deadbolt pošalje ključ za dešifriranje, a zatim upotrijebiti zamjenu za naknadu za promjenu transakcije na čekanju, a plaćanje ransomwareom vratiti žrtvi”, rekao je istražitelj.
Međutim, nizozemska policija suočila se s jednim problemom — vjerojatno su imali samo jedan hitac prije nego što bi Deadbolt shvatio što se događa. Tako su zajedno s Interpolom istražitelji pretražili policijska izvješća iz cijele zemlje i drugih kako bi identificirali što više žrtava koje još nisu platile otkupninu.
Pročitajte više: Coinbase se ne slaže s kaznom nizozemske središnje banke od gotovo 4 milijuna dolara
“Napisali smo skriptu za automatsko slanje transakcije Deadboltu, čekanje druge transakcije s ključem za dešifriranje zauzvrat i korištenje RBF-a za našu transakciju plaćanja. Budući da ga nismo mogli testirati na Deadboltu, morali smo ga pokrenuti na testnim mrežama kako bismo bili sigurni da radi,” rekao je istražitelj.
Nakon što je nizozemska policija primijenila skriptu, nije trebalo dugo da Deadbolt shvati i zaustavi svoju automatiziranu metodu isporuke ključeva za dešifriranje putem OP_RETURN. Ali zahvaljujući koordiniranim naporima, gotovo 90% žrtava policija je uspjela vratiti svoje podatke i izbjeći plaćanje otkupnine. Prema vlastima, Deadbolt je izgubio "stotine tisuća dolara".
Nizozemska policija želi podsjetiti javnost da prijavi kibernetički kriminal — na kraju krajeva, žrtve su se mogle identificirati samo putem policijskih izvješća. Mnoge žrtve Deadbolta koje nikada nisu podnijele policijske prijave nisu mogle nadoknaditi otkupninu.
Što se tiče Deadbolta, on još uvijek radi. Međutim, banda je prisiljena usvojiti različite metode isporuke ključeva za dešifriranje, što povećava troškove.
Za više informacija, pratite nas X / Twitter i Google vijesti ili se pretplatite na naš YouTube kanal.
Izvor: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/