A Chainalysis jelentése szerint a holland nemzeti rendőrség megzavarta a Deadbolt ransomware csoportot, és visszaszerezte a rendőrséggel kapcsolatba lépő áldozatok 90%-ának visszafejtési kulcsát.
2021 óta a Deadbolt kisvállalkozásokat és néha magánszemélyeket zsákmányol, kisebb váltságdíjakat követelve, amelyek gyorsan összeadódnak. 2022-ben a Deadbolt sikeresen több mint 2.3 millió dollárt gyűjtött be mintegy 5,000 áldozattól. A váltságdíj átlagos kifizetése 476 dollár volt – ez jóval alacsonyabb, mint az összes zsarolóprogram-csalás átlaga, amely több mint 70,000 XNUMX dollár.
A Deadbolt fejlesztői egyedülálló módszert dolgoztak ki a visszafejtő kulcsok áldozatokhoz való eljuttatására. Ez lehetővé tette, hogy olyan sokakat célozzanak meg – és ahogy a holland rendőrség felfedezte, ez végül a csoport bukását jelentette.
Amint arról a Chainalysis beszámolt, a Deadbolt a QNAP által gyártott, hálózatot támadó tárolóeszközök biztonsági hibáját használja ki. Miután az áldozat eszköze megfertőződött, egy egyszerű üzenet arra utasítja, hogy küldjön meghatározott mennyiségű bitcoint a pénztárca címére.
A Deadbolt automatikusan elküldi az áldozatoknak a visszafejtési kulcsot, amint az áldozat kis mennyiségű bitcoint küld a váltságdíj címére az OP_RETURN mezőbe írt visszafejtő kulccsal. A Chainalysis úgy véli, hogy a fejlesztők előre beprogramozták a tranzakciókat, hogy 0.0000546 BTC-t (körülbelül 1 dollár) küldjenek a saját pénztárca címére minden alkalommal, amikor az áldozat fizet, így rendelkezésre áll a pénz a visszafejtési kulcs közlésére.
A holland rendőrség trükközik a Deadbolt rendszerrel
Ez a meglehetősen kifinomult módszer az, ami miatt a holland nemzeti rendőrség megzavarta a Deadboltot. A nyomozók rájöttek, hogy becsaphatják a rendszert, hogy visszafejtési kulcsokat adhassanak vissza áldozatok százainak, ami lehetővé teszi számukra, hogy visszanyerjék az adatokat anélkül, hogy ténylegesen kiköhögnék a váltságdíjat.
„A Chainalysis tranzakcióit átnézve azt láttuk, hogy bizonyos esetekben a Deadbolt megadta a visszafejtési kulcsot, mielőtt az áldozat fizetését ténylegesen megerősítették volna a blokkláncon” – mondta egy nyomozó a Chainalysisnek.
Ez azt jelentette, hogy körülbelül 10 perc állt rendelkezésre – miközben a meg nem erősített tranzakció a Bitcoin mempooljában várakozott – a rendszer átverésére.
"Az áldozat elküldheti a fizetést a Deadboltnak, megvárhatja, amíg a Deadbolt elküldi a visszafejtési kulcsot, majd a cseredíj használatával módosíthatja a függőben lévő tranzakciót, és visszaküldheti a zsarolóvírus-fizetést az áldozatnak" - mondta a nyomozó.
A holland rendőrség azonban szembesült egy problémával – valószínűleg csak egy lövésük volt, mielőtt Deadbolt rájött volna, mi történik. Ezért az Interpollal együtt a nyomozók az ország minden részéről és más országokból származó rendőrségi jelentéseket kutattak, hogy azonosítsák azokat az áldozatokat, akik még nem fizették ki a váltságdíjat.
Forrás: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/