Holandska nacionalna policija prekinula je ransomware grupu Deadbolt, povrativši ključeve za dešifriranje 90% žrtava koje su kontaktirale policiju, prema izvještaju Chainalysis.
Od 2021. godine, Deadbolt napada mala preduzeća, a ponekad i pojedince, tražeći manje otkupnine koje se brzo mogu prikupiti. Godine 2022. Deadbolt je uspješno prikupio više od 2.3 miliona dolara od oko 5,000 žrtava. Prosječna isplata otkupnine bila je 476 dolara – daleko niža od prosjeka svih prijevara s ransomware-om, koji iznosi preko 70,000 dolara.
Deadbolt-ovi programeri dizajnirali su jedinstven način za isporuku ključeva za dešifriranje žrtvama. To je omogućilo da se cilja toliko mnogo - i kako je holandska policija otkrila, to bi na kraju bila propast grupe.
Kako je izvijestio Chainalysis, Deadbolt iskorištava sigurnosni propust u uređajima za skladištenje podataka napadnutim mrežom koje je napravio QNAP. Jednom kada je uređaj žrtve zaražen, jednostavna poruka ih upućuje da pošalju određenu količinu bitkoina na adresu novčanika.
Deadbolt automatski šalje žrtvama ključ za dešifriranje kada žrtva plati slanjem male količine bitkoina na adresu otkupnine s ključem za dešifriranje upisanim u polje OP_RETURN. Chainalysis vjeruje da su programeri imali unaprijed programirane transakcije za slanje 0.0000546 BTC (oko 1 USD) na svoju adresu novčanika svaki put kada žrtva plati, tako da su sredstva dostupna za prenošenje ključa za dešifriranje.
Holandska policija prevari sistem Deadbolt
Ova prilično sofisticirana metoda je ono što je navelo holandsku nacionalnu policiju da poremeti Deadbolt. Istražitelji su shvatili da mogu prevariti sistem da vrati ključeve za dešifriranje stotinama žrtava – omogućavajući im da oporave podatke bez iskašljavanja otkupnine.
“Pregledavajući transakcije u Chainalysisu, vidjeli smo da je u nekim slučajevima Deadbolt davao ključ za dešifriranje prije nego što je uplata žrtve zapravo potvrđena na blockchainu”, rekao je istražitelj za Chainalysis.
To je značilo da je postojao oko 10-minutni prozor – dok je nepotvrđena transakcija čekala u bitkoin-ovom mempulu – da se prevari sistem.
“Žrtva bi mogla poslati uplatu Deadboltu, pričekati da Deadbolt pošalje ključ za dešifriranje, a zatim koristiti zamjenu za naknadu za promjenu transakcije na čekanju i vratiti uplatu ransomware-a žrtvi”, rekao je istražitelj.
Međutim, holandska policija se suočila s jednim problemom - vjerovatno su imali samo jedan hitac prije nego što je Deadbolt shvatio šta se događa. Stoga su istražitelji zajedno s Interpolom pretraživali policijske izvještaje iz cijele zemlje i druge kako bi identifikovali što više žrtava koje još nisu platile otkupninu.
Čitaj više: Coinbase se ne slaže sa skoro 4 miliona dolara kazne holandske centralne banke
“Napisali smo skriptu za automatsko slanje transakcije Deadboltu, čekanje druge transakcije s ključem za dešifriranje zauzvrat i korištenje RBF-a za našu platnu transakciju. Pošto nismo mogli da ga testiramo na Deadboltu, morali smo da ga pokrenemo na test mrežama da bismo bili sigurni da radi”, rekao je istražitelj.
Kada je holandska policija primenila skriptu, nije trebalo dugo da Deadbolt uhvati i zaustavi svoju automatizovanu metodu isporuke ključeva za dešifrovanje putem OP_RETURN. Ali zahvaljujući koordinisanim naporima, gotovo 90% policajaca žrtava uspjelo je da povrati svoje podatke i izbjegne plaćanje otkupnine. Prema navodima vlasti, Deadbolt je izgubio "stotine hiljada dolara".
Holandska policija želi podsjetiti javnost da prijavi cyber kriminal – na kraju krajeva, žrtve su mogle biti identifikovane samo putem policijskih izvještaja. Mnoge žrtve Deadbolta koje nikada nisu podnijele policijske izvještaje nisu bile u mogućnosti da nadoknade otkupninu.
Što se tiče Deadbolta, on još uvijek radi. Međutim, banda je prisiljena usvojiti različite metode isporuke ključeva za dešifriranje, što povećava troškove.
Za detaljnije vijesti, pratite nas cvrkut i Google vesti ili se pretplatite na naš YouTube kanal.
Izvor: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/