Nizozemska nacionalna policija je prekinila skupino izsiljevalske programske opreme Deadbolt in pridobila ključe za dešifriranje 90 % žrtev, ki so stopile v stik s policijo, poroča Chainalysis.
Od leta 2021 Deadbolt pleni mala podjetja in včasih posameznike ter zahteva manjše odkupnine, ki se lahko hitro povečajo. Leta 2022 je Deadbolt uspešno zbral več kot 2.3 milijona dolarjev od približno 5,000 žrtev. Povprečno plačilo odkupnine je znašalo 476 USD – veliko nižje od povprečja vseh prevar z izsiljevalsko programsko opremo, ki znaša več kot 70,000 USD.
Deadboltovi razvijalci so oblikovali edinstven način za dostavo ključev za dešifriranje žrtvam. To je omogočilo napad na toliko ljudi - in kot je ugotovila nizozemska policija, je to na koncu pomenilo propad skupine.
Kot poroča Chainalysis, Deadbolt izkorišča varnostno napako v omrežno napadenih napravah za shranjevanje, ki jih je izdelal QNAP. Ko je naprava žrtve okužena, ji preprosto sporočilo naroči, naj pošlje določeno količino bitcoinov na naslov denarnice.
Deadbolt žrtvam samodejno pošlje ključ za dešifriranje, ko žrtev plača s pošiljanjem majhne količine bitcoina na naslov za odkupnino s ključem za dešifriranje, zapisanim v polju OP_RETURN. Chainalysis verjame, da so imeli razvijalci vnaprej programirane transakcije za pošiljanje 0.0000546 BTC (približno 1 USD) na naslov lastne denarnice vsakič, ko žrtev plača, tako da so na voljo sredstva za sporočanje ključa za dešifriranje.
Nizozemski policijski trik Sistem Deadbolt
Ta precej sofisticirana metoda je vodila nizozemsko nacionalno policijo, da je zmotila Deadbolt. Preiskovalci so ugotovili, da bi lahko prelisičili sistem, da vrne ključe za dešifriranje stotinam žrtev – kar bi jim omogočilo obnovitev podatkov, ne da bi dejansko izkašljali odkupnino.
"Če smo pregledali transakcije v Chainalysis, smo videli, da je v nekaterih primerih Deadbolt zagotovil ključ za dešifriranje, preden je bilo plačilo žrtve dejansko potrjeno v verigi blokov," je za Chainalysis povedal preiskovalec.
To je pomenilo, da je bilo na voljo približno 10-minutno okno – medtem ko je nepotrjena transakcija čakala v Bitcoinovem mempoolu – da pretenta sistem.
"Žrtev lahko pošlje plačilo Deadboltu, počaka, da Deadbolt pošlje ključ za dešifriranje, in nato uporabi zamenjavo za nadomestilo, da spremeni čakajočo transakcijo, plačilo izsiljevalske programske opreme pa se vrne žrtvi," je dejal preiskovalec.
Vendar se je nizozemska policija soočila z eno težavo - verjetno je imela le en strel, preden je Deadbolt ugotovil, kaj se dogaja. Zato so preiskovalci skupaj z Interpolom preiskali policijska poročila iz vse države in drugih, da bi identificirali čim več žrtev, ki še niso plačale odkupnine.
Vir: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/