Saskaņā ar Chainalysis ziņojumu Nīderlandes Nacionālā policija ir izjaukusi Deadbolt izspiedējvīrusu grupu, atgūstot atšifrēšanas atslēgas 90% upuru, kuri sazinājās ar policiju.
Kopš 2021. gada Deadbolt ir upurējis mazos uzņēmumus un dažkārt arī privātpersonas, pieprasot mazākas izpirkuma maksas, kas var ātri palielināties. 2022. gadā Deadbolt veiksmīgi iekasēja vairāk nekā 2.3 miljonus dolāru no aptuveni 5,000 upuriem. Vidējais izpirkuma maksājums bija 476 ASV dolāri — daudz zemāks par vidējo visu izpirkuma programmu izkrāpšanu, kas pārsniedz 70,000 XNUMX ASV dolāru.
Deadbolt izstrādātāji izstrādāja unikālu veidu, kā upuriem piegādāt atšifrēšanas atslēgas. Tas ļāva mērķēt uz tik daudziem, un, kā atklāja Nīderlandes policija, tas galu galā būtu grupas sabrukums.
Kā ziņoja Chainalysis, Deadbolt izmanto drošības trūkumu tīkla uzbrukuma ierīcēs, ko ražo QNAP. Kad upura ierīce ir inficēta, vienkārša ziņa liek viņam nosūtīt noteiktu bitkoina daudzumu uz maka adresi.
Deadbolt automātiski nosūta upuriem atšifrēšanas atslēgu, tiklīdz upuris maksā, nosūtot nelielu daudzumu bitcoin uz izpirkuma adresi ar atšifrēšanas atslēgu, kas ierakstīta laukā OP_RETURN. Chainalysis uzskata, ka izstrādātājiem bija iepriekš ieprogrammēti darījumi, lai katru reizi, kad upuris maksā, nosūtītu 0.0000546 BTC (apmēram USD 1) uz sava maka adresi, lai būtu pieejami līdzekļi atšifrēšanas atslēgas paziņošanai.
Nīderlandes policijas triks Deadbolt sistēma
Šī diezgan izsmalcinātā metode ir tā, kas lika Nīderlandes nacionālajai policijai izjaukt Deadbolt. Izmeklētāji saprata, ka viņi var apmānīt sistēmu, atdodot atšifrēšanas atslēgas simtiem upuru, ļaujot viņiem atgūt datus, faktiski nesaņemot izpirkuma maksu.
"Pārlūkojot darījumus programmā Chainalysis, mēs redzējām, ka dažos gadījumos Deadbolt sniedza atšifrēšanas atslēgu, pirms upura maksājums faktiski tika apstiprināts blokķēdē," Chainalysis pastāstīja izmeklētājs.
Tas nozīmēja, ka bija aptuveni 10 minūšu logs, kamēr neapstiprinātais darījums gaidīja Bitcoin mempoolā, lai apmānītu sistēmu.
"Cietušais var nosūtīt maksājumu Deadbolt, gaidīt, kamēr Deadbolt nosūtīs atšifrēšanas atslēgu, un pēc tam izmantot aizvietošanu ar maksu, lai mainītu gaidošo darījumu, un izpirkuma programmatūras maksājums tiek atgriezts cietušajam," sacīja izmeklētājs.
Tomēr Nīderlandes policija saskārās ar vienu problēmu - viņiem, visticamāk, bija tikai viens šāviens, pirms Deadbolts saprata, kas notiek. Tāpēc kopā ar Interpolu izmeklētāji pārmeklēja policijas ziņojumus no visas valsts un citiem, lai identificētu tik daudz upuru, kuri vēl nebija samaksājuši izpirkuma maksu.
Lasīt vairāk: Coinbase nepiekrīt gandrīz 4 miljonu ASV dolāru sodanaudai no Nīderlandes centrālās bankas
“Mēs uzrakstījām skriptu, lai automātiski nosūtītu darījumu Deadbolt, gaidītu citu darījumu ar atšifrēšanas atslēgu un izmantotu RBF mūsu maksājuma darījumā. Tā kā mēs nevarējām to pārbaudīt Deadbolt, mums tas bija jāpalaiž testtīklos, lai pārliecinātos, ka tas darbojas, ”sacīja izmeklētājs.
Kad Nīderlandes policija izvietoja skriptu, nebija vajadzīgs ilgs laiks, līdz Deadbolt uztvēra un apturēja savu automātisko atšifrēšanas atslēgu piegādes metodi, izmantojot OP_RETURN. Taču, pateicoties saskaņotiem centieniem, gandrīz 90% upuru policijai izdevās atgūt savus datus un izvairīties no izpirkuma maksas. Saskaņā ar varasiestāžu teikto, Deadbolts zaudēja "simtiem tūkstošu dolāru".
Nīderlandes policija vēlas atgādināt sabiedrībai ziņot par kibernoziegumiem — galu galā upurus varēja identificēt tikai ar policijas ziņojumiem. Daudzi Deadbolt upuri, kuri nekad nav iesnieguši ziņojumus policijai, nevarēja atgūt izpirkuma maksu.
Kas attiecas uz Deadbolt, tas joprojām darbojas. Tomēr banda ir spiesta pieņemt dažādas metodes atšifrēšanas atslēgu piegādei, palielinot tās izmaksas.
Lai iegūtu vairāk informētu jaunumu, sekojiet mums Twitter un Google ziņas vai abonējiet mūsu YouTube kanāls.
Avots: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/