Η Ολλανδική Εθνική Αστυνομία διέκοψε την ομάδα ransomware Deadbolt, ανακτώντας τα κλειδιά αποκρυπτογράφησης του 90% των θυμάτων που επικοινώνησαν με την αστυνομία, σύμφωνα με έκθεση της Chainalysis.
Από το 2021, το Deadbolt έχει θηρεύσει μικρές επιχειρήσεις και μερικές φορές ιδιώτες, απαιτώντας μικρότερα λύτρα που μπορούν γρήγορα να αθροιστούν. Το 2022, το Deadbolt συγκέντρωσε με επιτυχία περισσότερα από 2.3 εκατομμύρια δολάρια από περίπου 5,000 θύματα. Η μέση πληρωμή λύτρων ήταν 476 $ — πολύ χαμηλότερη από τον μέσο όρο σε όλες τις απάτες ransomware, που ξεπερνά τα 70,000 $.
Οι προγραμματιστές του Deadbolt σχεδίασαν έναν μοναδικό τρόπο παράδοσης κλειδιών αποκρυπτογράφησης στα θύματα. Αυτό κατέστησε δυνατή τη στόχευση τόσων πολλών - και όπως ανακάλυψε η ολλανδική αστυνομία, θα ήταν τελικά η πτώση της ομάδας.
Όπως αναφέρθηκε από το Chainalysis, το Deadbolt εκμεταλλεύεται ένα ελάττωμα ασφαλείας σε συσκευές αποθήκευσης που έχουν υποστεί επίθεση δικτύου κατασκευασμένων από την QNAP. Μόλις η συσκευή του θύματος έχει μολυνθεί, ένα απλό μήνυμα τους δίνει οδηγίες να στείλουν μια συγκεκριμένη ποσότητα bitcoin σε μια διεύθυνση πορτοφολιού.
Το Deadbolt στέλνει αυτόματα στα θύματα το κλειδί αποκρυπτογράφησης μόλις το θύμα πληρώσει, στέλνοντας μια μικρή ποσότητα bitcoin στη διεύθυνση λύτρων με το κλειδί αποκρυπτογράφησης γραμμένο στο πεδίο OP_RETURN. Η Chainalysis πιστεύει ότι οι προγραμματιστές είχαν προ-προγραμματισμένες συναλλαγές για να στέλνουν 0.0000546 BTC (περίπου 1 $) στη διεύθυνση του πορτοφολιού της κάθε φορά που το θύμα πληρώνει, έτσι ώστε να υπάρχουν διαθέσιμα κεφάλαια για την επικοινωνία του κλειδιού αποκρυπτογράφησης.
Η ολλανδική αστυνομία ξεγελάει το σύστημα Deadbolt
Αυτή η αρκετά περίπλοκη μέθοδος είναι που οδήγησε την Ολλανδική Εθνική Αστυνομία να αναστατώσει το Deadbolt. Οι ερευνητές συνειδητοποίησαν ότι θα μπορούσαν να ξεγελάσουν το σύστημα για να επιστρέψει κλειδιά αποκρυπτογράφησης σε εκατοντάδες θύματα - επιτρέποντάς τους να ανακτήσουν δεδομένα χωρίς να βήξουν πραγματικά τα λύτρα.
«Κοιτάζοντας τις συναλλαγές στο Chainalysis, είδαμε ότι σε ορισμένες περιπτώσεις, ο Deadbolt παρείχε το κλειδί αποκρυπτογράφησης πριν επιβεβαιωθεί πραγματικά η πληρωμή του θύματος στο blockchain», είπε ένας ερευνητής στο Chainalysis.
Αυτό σήμαινε ότι υπήρχε ένα παράθυρο περίπου 10 λεπτών - ενώ η μη επιβεβαιωμένη συναλλαγή περίμενε στο mempool του Bitcoin - για να ξεγελαστεί το σύστημα.
«Ένα θύμα θα μπορούσε να στείλει την πληρωμή στο Deadbolt, να περιμένει να στείλει το Deadbolt το κλειδί αποκρυπτογράφησης και στη συνέχεια να χρησιμοποιήσει αντικατάσταση με χρέωση για να αλλάξει την εκκρεμή συναλλαγή και να επιστρέψει η πληρωμή ransomware στο θύμα», είπε ο ερευνητής.
Ωστόσο, η ολλανδική αστυνομία αντιμετώπισε ένα πρόβλημα - πιθανότατα είχε μόνο έναν πυροβολισμό πριν ο Deadbolt συνειδητοποιήσει τι συνέβαινε. Έτσι, μαζί με την Ιντερπόλ, οι ανακριτές έψαξαν αστυνομικές αναφορές από όλη τη χώρα και άλλες για να εντοπίσουν τόσα θύματα που δεν είχαν πληρώσει ακόμη τα λύτρα.
Διαβάστε περισσότερα: Η Coinbase διαφωνεί με πρόστιμο σχεδόν 4 εκατομμυρίων δολαρίων από την ολλανδική κεντρική τράπεζα
«Γράψαμε ένα σενάριο για να στείλουμε αυτόματα μια συναλλαγή στο Deadbolt, να περιμένουμε μια άλλη συναλλαγή με το κλειδί αποκρυπτογράφησης σε αντάλλαγμα και να χρησιμοποιήσουμε το RBF στη συναλλαγή πληρωμής μας. Δεδομένου ότι δεν μπορούσαμε να το δοκιμάσουμε στο Deadbolt, έπρεπε να το εκτελέσουμε σε δοκιμαστικά δίκτυα για να βεβαιωθούμε ότι λειτουργούσε», είπε ο ερευνητής.
Μόλις η ολλανδική αστυνομία ανέπτυξε το σενάριο, δεν άργησε το Deadbolt να πιάσει και να σταματήσει την αυτοματοποιημένη μέθοδο παράδοσης κλειδιών αποκρυπτογράφησης μέσω του OP_RETURN. Όμως, χάρη σε συντονισμένες προσπάθειες, σχεδόν το 90% των θυμάτων της αστυνομίας μπόρεσε να ανακτήσει τα δεδομένα τους και να αποφύγει να πληρώσει τα λύτρα. Σύμφωνα με τις αρχές, ο Deadbolt έχασε «εκατοντάδες χιλιάδες δολάρια».
Η ολλανδική αστυνομία είναι πρόθυμη να υπενθυμίσει στο κοινό να αναφέρει το έγκλημα στον κυβερνοχώρο — σε τελική ανάλυση, μόνο μέσω αστυνομικών αναφορών μπορούσαν να εντοπιστούν τα θύματα. Πολλά θύματα του Deadbolt που δεν υπέβαλαν ποτέ αναφορές στην αστυνομία δεν μπόρεσαν να ανακτήσουν τις πληρωμές λύτρων.
Όσο για το Deadbolt, εξακολουθεί να λειτουργεί. Ωστόσο, η συμμορία αναγκάζεται να υιοθετήσει διαφορετικές μεθόδους παράδοσης κλειδιών αποκρυπτογράφησης, αυξάνοντας τα γενικά της έξοδα.
Για περισσότερα ενημερωμένα νέα, ακολουθήστε μας Twitter και ειδήσεις Google ή εγγραφείτε στο YouTube κανάλι.
Πηγή: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/