Відповідно до звіту Chainalysis, національна поліція Нідерландів зламала групу програм-вимагачів Deadbolt, відновивши ключі розшифровки 90% жертв, які зверталися до поліції.
З 2021 року Deadbolt полює на малі підприємства, а іноді й на окремих осіб, вимагаючи менші викупи, які можуть швидко збільшитися. У 2022 році Deadbolt успішно зібрав понад 2.3 мільйона доларів приблизно від 5,000 жертв. Середня сума викупу становила 476 доларів — це набагато менше, ніж у середньому за всіма шахрайськими програмами-вимагачами, який становить понад 70,000 XNUMX доларів.
Розробники Deadbolt розробили унікальний спосіб доставки ключів дешифрування жертвам. Це дало можливість націлити таку кількість людей — і, як з’ясувала нідерландська поліція, зрештою призвело до краху групи.
Як повідомляє Chainalysis, Deadbolt використовує недолік безпеки в мережевих атакованих пристроях зберігання, створених QNAP. Після зараження пристрою жертви просте повідомлення вказує надіслати певну суму біткойнів на адресу гаманця.
Deadbolt автоматично надсилає жертвам ключ розшифровки, коли жертва платить, надсилаючи невелику суму біткойнів на адресу викупу з ключем розшифровки, записаним у полі OP_RETURN. Chainalysis вважає, що розробники попередньо запрограмували транзакції для надсилання 0.0000546 BTC (близько 1 долара) на адресу власного гаманця щоразу, коли жертва платить, щоб були доступні кошти для передачі ключа дешифрування.
Нідерландська поліцейська хитрість Система Deadbolt
Саме цей досить складний метод змусив голландську національну поліцію зірвати Deadbolt. Слідчі зрозуміли, що вони можуть обманом змусити систему повернути ключі розшифровки сотням жертв, що дозволить їм відновити дані, фактично не вимагаючи викупу.
«Переглядаючи транзакції в Chainalysis, ми побачили, що в деяких випадках Deadbolt надавав ключ дешифрування до того, як платіж жертви фактично підтверджувався в блокчейні», — сказав дослідник Chainalysis.
Це означало, що було приблизно 10-хвилинне вікно — поки непідтверджена транзакція чекала в mempool Bitcoin — щоб обдурити систему.
«Жертва може надіслати платіж Deadbolt, дочекатися, поки Deadbolt надішле ключ розшифровки, а потім використати заміну на комісію, щоб змінити транзакцію, що очікує на розгляд, і повернути платіж за програми-вимагачі жертві», — сказав слідчий.
Проте голландська поліція зіткнулася з однією проблемою — вони, ймовірно, мали лише один постріл, перш ніж Дедболт зрозумів, що відбувається. Тож спільно з Інтерполом слідчі перевірили поліцейські звіти з усієї країни та інших, щоб виявити якомога більше жертв, які ще не заплатили викуп.
Джерело: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/