Η Ολλανδική Εθνική Αστυνομία διέκοψε την ομάδα ransomware Deadbolt, ανακτώντας τα κλειδιά αποκρυπτογράφησης του 90% των θυμάτων που επικοινώνησαν με την αστυνομία, σύμφωνα με έκθεση της Chainalysis.
Από το 2021, το Deadbolt έχει θηρεύσει μικρές επιχειρήσεις και μερικές φορές ιδιώτες, απαιτώντας μικρότερα λύτρα που μπορούν γρήγορα να αθροιστούν. Το 2022, το Deadbolt συγκέντρωσε με επιτυχία περισσότερα από 2.3 εκατομμύρια δολάρια από περίπου 5,000 θύματα. Η μέση πληρωμή λύτρων ήταν 476 $ — πολύ χαμηλότερη από τον μέσο όρο σε όλες τις απάτες ransomware, που ξεπερνά τα 70,000 $.
Οι προγραμματιστές του Deadbolt σχεδίασαν έναν μοναδικό τρόπο παράδοσης κλειδιών αποκρυπτογράφησης στα θύματα. Αυτό κατέστησε δυνατή τη στόχευση τόσων πολλών - και όπως ανακάλυψε η ολλανδική αστυνομία, θα ήταν τελικά η πτώση της ομάδας.
Όπως αναφέρθηκε από το Chainalysis, το Deadbolt εκμεταλλεύεται ένα ελάττωμα ασφαλείας σε συσκευές αποθήκευσης που έχουν υποστεί επίθεση δικτύου κατασκευασμένων από την QNAP. Μόλις η συσκευή του θύματος έχει μολυνθεί, ένα απλό μήνυμα τους δίνει οδηγίες να στείλουν μια συγκεκριμένη ποσότητα bitcoin σε μια διεύθυνση πορτοφολιού.
Το Deadbolt στέλνει αυτόματα στα θύματα το κλειδί αποκρυπτογράφησης μόλις το θύμα πληρώσει, στέλνοντας μια μικρή ποσότητα bitcoin στη διεύθυνση λύτρων με το κλειδί αποκρυπτογράφησης γραμμένο στο πεδίο OP_RETURN. Η Chainalysis πιστεύει ότι οι προγραμματιστές είχαν προ-προγραμματισμένες συναλλαγές για να στέλνουν 0.0000546 BTC (περίπου 1 $) στη διεύθυνση του πορτοφολιού της κάθε φορά που το θύμα πληρώνει, έτσι ώστε να υπάρχουν διαθέσιμα κεφάλαια για την επικοινωνία του κλειδιού αποκρυπτογράφησης.
Η ολλανδική αστυνομία ξεγελάει το σύστημα Deadbolt
Αυτή η αρκετά περίπλοκη μέθοδος είναι που οδήγησε την Ολλανδική Εθνική Αστυνομία να αναστατώσει το Deadbolt. Οι ερευνητές συνειδητοποίησαν ότι θα μπορούσαν να ξεγελάσουν το σύστημα για να επιστρέψει κλειδιά αποκρυπτογράφησης σε εκατοντάδες θύματα - επιτρέποντάς τους να ανακτήσουν δεδομένα χωρίς να βήξουν πραγματικά τα λύτρα.
«Κοιτάζοντας τις συναλλαγές στο Chainalysis, είδαμε ότι σε ορισμένες περιπτώσεις, ο Deadbolt παρείχε το κλειδί αποκρυπτογράφησης πριν επιβεβαιωθεί πραγματικά η πληρωμή του θύματος στο blockchain», είπε ένας ερευνητής στο Chainalysis.
Αυτό σήμαινε ότι υπήρχε ένα παράθυρο περίπου 10 λεπτών - ενώ η μη επιβεβαιωμένη συναλλαγή περίμενε στο mempool του Bitcoin - για να ξεγελαστεί το σύστημα.
«Ένα θύμα θα μπορούσε να στείλει την πληρωμή στο Deadbolt, να περιμένει να στείλει το Deadbolt το κλειδί αποκρυπτογράφησης και στη συνέχεια να χρησιμοποιήσει αντικατάσταση με χρέωση για να αλλάξει την εκκρεμή συναλλαγή και να επιστρέψει η πληρωμή ransomware στο θύμα», είπε ο ερευνητής.
Ωστόσο, η ολλανδική αστυνομία αντιμετώπισε ένα πρόβλημα - πιθανότατα είχε μόνο έναν πυροβολισμό πριν ο Deadbolt συνειδητοποιήσει τι συνέβαινε. Έτσι, μαζί με την Ιντερπόλ, οι ανακριτές έψαξαν αστυνομικές αναφορές από όλη τη χώρα και άλλες για να εντοπίσουν τόσα θύματα που δεν είχαν πληρώσει ακόμη τα λύτρα.
Πηγή: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/