Nizozemska nacionalna policija je prekinila skupino izsiljevalske programske opreme Deadbolt in pridobila ključe za dešifriranje 90 % žrtev, ki so stopile v stik s policijo, poroča Chainalysis.
Od leta 2021 Deadbolt pleni mala podjetja in včasih posameznike ter zahteva manjše odkupnine, ki se lahko hitro povečajo. Leta 2022 je Deadbolt uspešno zbral več kot 2.3 milijona dolarjev od približno 5,000 žrtev. Povprečno plačilo odkupnine je znašalo 476 USD – veliko nižje od povprečja vseh prevar z izsiljevalsko programsko opremo, ki znaša več kot 70,000 USD.
Deadboltovi razvijalci so oblikovali edinstven način za dostavo ključev za dešifriranje žrtvam. To je omogočilo napad na toliko ljudi - in kot je ugotovila nizozemska policija, je to na koncu pomenilo propad skupine.
Kot poroča Chainalysis, Deadbolt izkorišča varnostno napako v omrežno napadenih napravah za shranjevanje, ki jih je izdelal QNAP. Ko je naprava žrtve okužena, ji preprosto sporočilo naroči, naj pošlje določeno količino bitcoinov na naslov denarnice.
Deadbolt žrtvam samodejno pošlje ključ za dešifriranje, ko žrtev plača s pošiljanjem majhne količine bitcoina na naslov za odkupnino s ključem za dešifriranje, zapisanim v polju OP_RETURN. Chainalysis verjame, da so imeli razvijalci vnaprej programirane transakcije za pošiljanje 0.0000546 BTC (približno 1 USD) na naslov lastne denarnice vsakič, ko žrtev plača, tako da so na voljo sredstva za sporočanje ključa za dešifriranje.
Nizozemski policijski trik Sistem Deadbolt
Ta precej sofisticirana metoda je vodila nizozemsko nacionalno policijo, da je zmotila Deadbolt. Preiskovalci so ugotovili, da bi lahko prelisičili sistem, da vrne ključe za dešifriranje stotinam žrtev – kar bi jim omogočilo obnovitev podatkov, ne da bi dejansko izkašljali odkupnino.
"Če smo pregledali transakcije v Chainalysis, smo videli, da je v nekaterih primerih Deadbolt zagotovil ključ za dešifriranje, preden je bilo plačilo žrtve dejansko potrjeno v verigi blokov," je za Chainalysis povedal preiskovalec.
To je pomenilo, da je bilo na voljo približno 10-minutno okno – medtem ko je nepotrjena transakcija čakala v Bitcoinovem mempoolu – da pretenta sistem.
"Žrtev lahko pošlje plačilo Deadboltu, počaka, da Deadbolt pošlje ključ za dešifriranje, in nato uporabi zamenjavo za nadomestilo, da spremeni čakajočo transakcijo, plačilo izsiljevalske programske opreme pa se vrne žrtvi," je dejal preiskovalec.
Vendar se je nizozemska policija soočila z eno težavo - verjetno je imela le en strel, preden je Deadbolt ugotovil, kaj se dogaja. Zato so preiskovalci skupaj z Interpolom preiskali policijska poročila iz vse države in drugih, da bi identificirali čim več žrtev, ki še niso plačale odkupnine.
Preberite več: Coinbase se ne strinja s skoraj 4 milijoni dolarjev kazni nizozemske centralne banke
»Napisali smo skript za samodejno pošiljanje transakcije v Deadbolt, čakanje na drugo transakcijo s ključem za dešifriranje v zameno in uporabo RBF pri naši plačilni transakciji. Ker ga nismo mogli preizkusiti na Deadboltu, smo ga morali zagnati na testnih omrežjih, da smo se prepričali, da deluje,« je dejal raziskovalec.
Ko je nizozemska policija uvedla skript, ni trajalo dolgo, da je Deadbolt ujel in ustavil svojo avtomatizirano metodo dostave ključev za dešifriranje prek OP_RETURN. Toda zahvaljujoč usklajenim prizadevanjem je policiji skoraj 90 % žrtev uspelo obnoviti njihove podatke in se izogniti plačilu odkupnine. Po navedbah oblasti je Deadbolt izgubil "na stotine tisoče dolarjev."
Nizozemska policija želi opomniti javnost, naj prijavi kibernetski kriminal - navsezadnje je bilo žrtve mogoče identificirati le s policijskimi poročili. Številne žrtve Deadbolta, ki nikoli niso vložile policijskih prijav, niso mogle povrniti odkupnine.
Kar zadeva Deadbolt, še vedno deluje. Vendar pa je tolpa prisiljena sprejeti različne metode dostave ključev za dešifriranje, kar poveča stroške.
Za več informacij nas spremljajte Twitter in Google News ali se naročite na naše YouTube kanal.
Vir: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/