Holandska nacionalna policija prekinula je ransomware grupu Deadbolt, povrativši ključeve za dešifriranje 90% žrtava koje su kontaktirale policiju, prema izvještaju Chainalysis.
Od 2021. godine, Deadbolt napada mala preduzeća, a ponekad i pojedince, tražeći manje otkupnine koje se brzo mogu prikupiti. Godine 2022. Deadbolt je uspješno prikupio više od 2.3 miliona dolara od oko 5,000 žrtava. Prosječna isplata otkupnine bila je 476 dolara – daleko niža od prosjeka svih prijevara s ransomware-om, koji iznosi preko 70,000 dolara.
Deadbolt-ovi programeri dizajnirali su jedinstven način za isporuku ključeva za dešifriranje žrtvama. To je omogućilo da se cilja toliko mnogo - i kako je holandska policija otkrila, to bi na kraju bila propast grupe.
Kako je izvijestio Chainalysis, Deadbolt iskorištava sigurnosni propust u uređajima za skladištenje podataka napadnutim mrežom koje je napravio QNAP. Jednom kada je uređaj žrtve zaražen, jednostavna poruka ih upućuje da pošalju određenu količinu bitkoina na adresu novčanika.
Deadbolt automatski šalje žrtvama ključ za dešifriranje kada žrtva plati slanjem male količine bitkoina na adresu otkupnine s ključem za dešifriranje upisanim u polje OP_RETURN. Chainalysis vjeruje da su programeri imali unaprijed programirane transakcije za slanje 0.0000546 BTC (oko 1 USD) na svoju adresu novčanika svaki put kada žrtva plati, tako da su sredstva dostupna za prenošenje ključa za dešifriranje.
Holandska policija prevari sistem Deadbolt
Ova prilično sofisticirana metoda je ono što je navelo holandsku nacionalnu policiju da poremeti Deadbolt. Istražitelji su shvatili da mogu prevariti sistem da vrati ključeve za dešifriranje stotinama žrtava – omogućavajući im da oporave podatke bez iskašljavanja otkupnine.
“Pregledavajući transakcije u Chainalysisu, vidjeli smo da je u nekim slučajevima Deadbolt davao ključ za dešifriranje prije nego što je uplata žrtve zapravo potvrđena na blockchainu”, rekao je istražitelj za Chainalysis.
To je značilo da je postojao oko 10-minutni prozor – dok je nepotvrđena transakcija čekala u bitkoin-ovom mempulu – da se prevari sistem.
“Žrtva bi mogla poslati uplatu Deadboltu, pričekati da Deadbolt pošalje ključ za dešifriranje, a zatim koristiti zamjenu za naknadu za promjenu transakcije na čekanju i vratiti uplatu ransomware-a žrtvi”, rekao je istražitelj.
Međutim, holandska policija se suočila s jednim problemom - vjerovatno su imali samo jedan hitac prije nego što je Deadbolt shvatio šta se događa. Stoga su istražitelji zajedno s Interpolom pretraživali policijske izvještaje iz cijele zemlje i druge kako bi identifikovali što više žrtava koje još nisu platile otkupninu.
Izvor: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/