Det hollandske nationale politi har afbrudt Deadbolt ransomware-gruppen og gendannet dekrypteringsnøglerne fra 90 % af ofrene, der kontaktede politiet, ifølge en rapport fra Chainalysis.
Siden 2021 har Deadbolt forgrebet sig på små virksomheder og nogle gange enkeltpersoner og krævet mindre løsesummer, der hurtigt kan stige. I 2022 indsamlede Deadbolt med succes mere end 2.3 millioner dollars fra omkring 5,000 ofre. Den gennemsnitlige løsesumsbetaling var $476 - langt lavere end gennemsnittet på tværs af alle ransomware-svindel, som ligger på over $70,000.
Deadbolts udviklere designet en unik måde at levere dekrypteringsnøgler til ofre. Dette gjorde det muligt at målrette så mange - og som det hollandske politi opdagede, ville det i sidste ende blive gruppens undergang.
Som rapporteret af Chainalysis udnytter Deadbolt en sikkerhedsfejl i netværksangrebne lagerenheder lavet af QNAP. Når et offers enhed er blevet inficeret, instruerer en simpel besked dem om at sende en bestemt mængde bitcoin til en tegnebogsadresse.
Deadbolt sender automatisk ofrene dekrypteringsnøglen, når et offer betaler ved at sende en lille mængde bitcoin til løsesumsadressen med dekrypteringsnøglen skrevet i OP_RETURN feltet. Chainalysis mener, at udviklere havde forudprogrammerede transaktioner til at sende 0.0000546 BTC (omkring $1) til sin egen tegnebogsadresse, hver gang et offer betaler, så der er midler til rådighed til at kommunikere dekrypteringsnøglen.
Hollandsk politi trick Deadbolt system
Denne ret sofistikerede metode er, hvad der fik det hollandske nationale politi til at forstyrre Deadbolt. Efterforskere indså, at de kunne narre systemet til at returnere dekrypteringsnøgler til hundredvis af ofre - så de kunne gendanne data uden egentlig at hoste løsesummen op.
"Når vi så gennem transaktionerne i Chainalysis, så vi, at Deadbolt i nogle tilfælde leverede dekrypteringsnøglen, før ofrets betaling faktisk blev bekræftet på blockchain," fortalte en efterforsker til Chainalysis.
Dette betød, at der var omkring 10 minutters vindue - mens den ubekræftede transaktion sad og ventede i Bitcoins mempool - for at narre systemet.
"Et offer kunne sende betalingen til Deadbolt, vente på, at Deadbolt sender dekrypteringsnøglen og derefter bruge erstatning-ved-gebyr til at ændre den afventende transaktion og få ransomware-betalingen til at gå tilbage til offeret," sagde efterforskeren.
Hollandsk politi stod dog over for et problem - de havde sandsynligvis kun et skud, før Deadbolt ville indse, hvad der skete. Så sammen med Interpol gennemsøgte efterforskere politirapporter fra hele landet og andre for at identificere så mange ofre, der endnu ikke havde betalt løsesum.
Læs mere: Coinbase er uenig i en bøde på næsten 4 millioner dollars fra den hollandske centralbank
"Vi skrev et script til automatisk at sende en transaktion til Deadbolt, vente på en anden transaktion med dekrypteringsnøglen til gengæld og bruge RBF på vores betalingstransaktion. Da vi ikke kunne teste det på Deadbolt, var vi nødt til at køre det på testnet for at sikre, at det virkede,” sagde efterforskeren.
Når først hollandsk politi implementerede scriptet, tog det ikke lang tid, før Deadbolt fangede og stoppede dens automatiserede metode til at levere dekrypteringsnøgler gennem OP_RETURN. Men takket være en koordineret indsats var næsten 90 % af ofrene politi i stand til at gendanne deres data og undgå at betale løsesum. Ifølge myndighederne tabte Deadbolt "hundredetusindvis af dollars."
Hollandsk politi er opsat på at minde offentligheden om at anmelde cyberkriminalitet - det var trods alt kun gennem politirapporter, at ofrene kunne identificeres. Mange Deadbolt-ofre, der aldrig indgav politirapporter, var ikke i stand til at inddrive løsesum.
Hvad angår Deadbolt, fungerer den stadig. Banden er dog tvunget til at anvende forskellige metoder til at levere dekrypteringsnøgler, hvilket hæver deres overhead.
For mere informerede nyheder, følg os på Twitter , Google Nyheder eller tilmeld dig vores YouTube kanal.
Kilde: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/