A Chainalysis jelentése szerint a holland nemzeti rendőrség megzavarta a Deadbolt ransomware csoportot, és visszaszerezte a rendőrséggel kapcsolatba lépő áldozatok 90%-ának visszafejtési kulcsát.
2021 óta a Deadbolt kisvállalkozásokat és néha magánszemélyeket zsákmányol, kisebb váltságdíjakat követelve, amelyek gyorsan összeadódnak. 2022-ben a Deadbolt sikeresen több mint 2.3 millió dollárt gyűjtött be mintegy 5,000 áldozattól. A váltságdíj átlagos kifizetése 476 dollár volt – ez jóval alacsonyabb, mint az összes zsarolóprogram-csalás átlaga, amely több mint 70,000 XNUMX dollár.
A Deadbolt fejlesztői egyedülálló módszert dolgoztak ki a visszafejtő kulcsok áldozatokhoz való eljuttatására. Ez lehetővé tette, hogy olyan sokakat célozzanak meg – és ahogy a holland rendőrség felfedezte, ez végül a csoport bukását jelentette.
Amint arról a Chainalysis beszámolt, a Deadbolt a QNAP által gyártott, hálózatot támadó tárolóeszközök biztonsági hibáját használja ki. Miután az áldozat eszköze megfertőződött, egy egyszerű üzenet arra utasítja, hogy küldjön meghatározott mennyiségű bitcoint a pénztárca címére.
A Deadbolt automatikusan elküldi az áldozatoknak a visszafejtési kulcsot, amint az áldozat kis mennyiségű bitcoint küld a váltságdíj címére az OP_RETURN mezőbe írt visszafejtő kulccsal. A Chainalysis úgy véli, hogy a fejlesztők előre beprogramozták a tranzakciókat, hogy 0.0000546 BTC-t (körülbelül 1 dollár) küldjenek a saját pénztárca címére minden alkalommal, amikor az áldozat fizet, így rendelkezésre áll a pénz a visszafejtési kulcs közlésére.
A holland rendőrség trükközik a Deadbolt rendszerrel
Ez a meglehetősen kifinomult módszer az, ami miatt a holland nemzeti rendőrség megzavarta a Deadboltot. A nyomozók rájöttek, hogy becsaphatják a rendszert, hogy visszafejtési kulcsokat adhassanak vissza áldozatok százainak, ami lehetővé teszi számukra, hogy visszanyerjék az adatokat anélkül, hogy ténylegesen kiköhögnék a váltságdíjat.
„A Chainalysis tranzakcióit átnézve azt láttuk, hogy bizonyos esetekben a Deadbolt megadta a visszafejtési kulcsot, mielőtt az áldozat fizetését ténylegesen megerősítették volna a blokkláncon” – mondta egy nyomozó a Chainalysisnek.
Ez azt jelentette, hogy körülbelül 10 perc állt rendelkezésre – miközben a meg nem erősített tranzakció a Bitcoin mempooljában várakozott – a rendszer átverésére.
"Az áldozat elküldheti a fizetést a Deadboltnak, megvárhatja, amíg a Deadbolt elküldi a visszafejtési kulcsot, majd a cseredíj használatával módosíthatja a függőben lévő tranzakciót, és visszaküldheti a zsarolóvírus-fizetést az áldozatnak" - mondta a nyomozó.
A holland rendőrség azonban szembesült egy problémával – valószínűleg csak egy lövésük volt, mielőtt Deadbolt rájött volna, mi történik. Ezért az Interpollal együtt a nyomozók az ország minden részéről és más országokból származó rendőrségi jelentéseket kutattak, hogy azonosítsák azokat az áldozatokat, akik még nem fizették ki a váltságdíjat.
Bővebben: A Coinbase nem ért egyet a holland központi bank csaknem 4 millió dolláros bírságával
„Írtunk egy szkriptet, amely automatikusan elküldi a tranzakciót a Deadboltnak, cserébe megvárunk egy másik tranzakciót a visszafejtési kulccsal, és RBF-et használunk a fizetési tranzakciónkhoz. Mivel nem tudtuk tesztelni Deadbolton, tesztelnünk kellett, hogy megbizonyosodjunk a működéséről” – mondta a kutató.
Amint a holland rendőrség bevezette a szkriptet, nem kellett sok idő, hogy a Deadbolt felfogja és leállítsa a visszafejtő kulcsok OP_RETURN-en keresztüli kézbesítésének automatizált módszerét. Ám az összehangolt erőfeszítéseknek köszönhetően az áldozatok csaknem 90%-ának sikerült visszaszereznie adatait, és elkerülte a váltságdíj kifizetését. A hatóságok szerint Deadbolt „több százezer dollárt veszített”.
A holland rendőrség nagyon szeretné emlékeztetni a lakosságot, hogy jelentsék be a kiberbűnözést – elvégre csak a rendőrségi jelentések alapján lehetett azonosítani az áldozatokat. Sok Deadbolt áldozat, aki soha nem tett feljelentést a rendőrségen, nem tudta megtéríteni a váltságdíjat.
Ami a Deadboltot illeti, még mindig működik. A banda azonban kénytelen különböző módszereket alkalmazni a visszafejtési kulcsok kézbesítésére, ami növeli a rezsijét.
További tájékozott hírekért kövessen minket Twitter és a Google Hírek vagy iratkozzon fel a mi Youtube csatornát.
Forrás: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/