Відповідно до звіту Chainalysis, національна поліція Нідерландів зламала групу програм-вимагачів Deadbolt, відновивши ключі розшифровки 90% жертв, які зверталися до поліції.
З 2021 року Deadbolt полює на малі підприємства, а іноді й на окремих осіб, вимагаючи менші викупи, які можуть швидко збільшитися. У 2022 році Deadbolt успішно зібрав понад 2.3 мільйона доларів приблизно від 5,000 жертв. Середня сума викупу становила 476 доларів — це набагато менше, ніж у середньому за всіма шахрайськими програмами-вимагачами, який становить понад 70,000 XNUMX доларів.
Розробники Deadbolt розробили унікальний спосіб доставки ключів дешифрування жертвам. Це дало можливість націлити таку кількість людей — і, як з’ясувала нідерландська поліція, зрештою призвело до краху групи.
Як повідомляє Chainalysis, Deadbolt використовує недолік безпеки в мережевих атакованих пристроях зберігання, створених QNAP. Після зараження пристрою жертви просте повідомлення вказує надіслати певну суму біткойнів на адресу гаманця.
Deadbolt автоматично надсилає жертвам ключ розшифровки, коли жертва платить, надсилаючи невелику суму біткойнів на адресу викупу з ключем розшифровки, записаним у полі OP_RETURN. Chainalysis вважає, що розробники попередньо запрограмували транзакції для надсилання 0.0000546 BTC (близько 1 долара) на адресу власного гаманця щоразу, коли жертва платить, щоб були доступні кошти для передачі ключа дешифрування.
Нідерландська поліцейська хитрість Система Deadbolt
Саме цей досить складний метод змусив голландську національну поліцію зірвати Deadbolt. Слідчі зрозуміли, що вони можуть обманом змусити систему повернути ключі розшифровки сотням жертв, що дозволить їм відновити дані, фактично не вимагаючи викупу.
«Переглядаючи транзакції в Chainalysis, ми побачили, що в деяких випадках Deadbolt надавав ключ дешифрування до того, як платіж жертви фактично підтверджувався в блокчейні», — сказав дослідник Chainalysis.
Це означало, що було приблизно 10-хвилинне вікно — поки непідтверджена транзакція чекала в mempool Bitcoin — щоб обдурити систему.
«Жертва може надіслати платіж Deadbolt, дочекатися, поки Deadbolt надішле ключ розшифровки, а потім використати заміну на комісію, щоб змінити транзакцію, що очікує на розгляд, і повернути платіж за програми-вимагачі жертві», — сказав слідчий.
Проте голландська поліція зіткнулася з однією проблемою — вони, ймовірно, мали лише один постріл, перш ніж Дедболт зрозумів, що відбувається. Тож спільно з Інтерполом слідчі перевірили поліцейські звіти з усієї країни та інших, щоб виявити якомога більше жертв, які ще не заплатили викуп.
Детальніше: Coinbase не погоджується зі штрафом центрального банку Нідерландів майже на 4 мільйони доларів
«Ми написали сценарій для автоматичного надсилання транзакції в Deadbolt, очікування іншої транзакції з ключем дешифрування натомість і використання RBF для нашої платіжної транзакції. Оскільки ми не могли протестувати його на Deadbolt, нам довелося запустити його в тестових мережах, щоб переконатися, що він працює», — сказав дослідник.
Після того, як нідерландська поліція застосувала сценарій, Deadbolt не знадобилося багато часу, щоб підхопити його та припинити автоматизований метод доставки ключів дешифрування через OP_RETURN. Але завдяки скоординованим зусиллям майже 90% постраждалих поліцейські змогли відновити свої дані та уникнути виплати викупу. За даними влади, Дедболт втратив «сотні тисяч доларів».
Нідерландська поліція прагне нагадувати громадськості про необхідність повідомляти про кіберзлочини — зрештою, лише за звітами поліції можна було ідентифікувати жертв. Багато жертв Deadbolt, які ніколи не подавали заяви до поліції, не змогли відшкодувати викуп.
Що стосується Deadbolt, то він все ще працює. Однак банда змушена використовувати різні методи доставки ключів розшифровки, що збільшує накладні витрати.
Для отримання більш інформованих новин слідкуйте за нами Twitter та Новини Google або підписатися на наш YouTube канал.
Джерело: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/