Det hollandske nationale politi har afbrudt Deadbolt ransomware-gruppen og gendannet dekrypteringsnøglerne fra 90 % af ofrene, der kontaktede politiet, ifølge en rapport fra Chainalysis.
Siden 2021 har Deadbolt forgrebet sig på små virksomheder og nogle gange enkeltpersoner og krævet mindre løsesummer, der hurtigt kan stige. I 2022 indsamlede Deadbolt med succes mere end 2.3 millioner dollars fra omkring 5,000 ofre. Den gennemsnitlige løsesumsbetaling var $476 - langt lavere end gennemsnittet på tværs af alle ransomware-svindel, som ligger på over $70,000.
Deadbolts udviklere designet en unik måde at levere dekrypteringsnøgler til ofre. Dette gjorde det muligt at målrette så mange - og som det hollandske politi opdagede, ville det i sidste ende blive gruppens undergang.
Som rapporteret af Chainalysis udnytter Deadbolt en sikkerhedsfejl i netværksangrebne lagerenheder lavet af QNAP. Når et offers enhed er blevet inficeret, instruerer en simpel besked dem om at sende en bestemt mængde bitcoin til en tegnebogsadresse.
Deadbolt sender automatisk ofrene dekrypteringsnøglen, når et offer betaler ved at sende en lille mængde bitcoin til løsesumsadressen med dekrypteringsnøglen skrevet i OP_RETURN feltet. Chainalysis mener, at udviklere havde forudprogrammerede transaktioner til at sende 0.0000546 BTC (omkring $1) til sin egen tegnebogsadresse, hver gang et offer betaler, så der er midler til rådighed til at kommunikere dekrypteringsnøglen.
Hollandsk politi trick Deadbolt system
Denne ret sofistikerede metode er, hvad der fik det hollandske nationale politi til at forstyrre Deadbolt. Efterforskere indså, at de kunne narre systemet til at returnere dekrypteringsnøgler til hundredvis af ofre - så de kunne gendanne data uden egentlig at hoste løsesummen op.
"Når vi så gennem transaktionerne i Chainalysis, så vi, at Deadbolt i nogle tilfælde leverede dekrypteringsnøglen, før ofrets betaling faktisk blev bekræftet på blockchain," fortalte en efterforsker til Chainalysis.
Dette betød, at der var omkring 10 minutters vindue - mens den ubekræftede transaktion sad og ventede i Bitcoins mempool - for at narre systemet.
"Et offer kunne sende betalingen til Deadbolt, vente på, at Deadbolt sender dekrypteringsnøglen og derefter bruge erstatning-ved-gebyr til at ændre den afventende transaktion og få ransomware-betalingen til at gå tilbage til offeret," sagde efterforskeren.
Hollandsk politi stod dog over for et problem - de havde sandsynligvis kun et skud, før Deadbolt ville indse, hvad der skete. Så sammen med Interpol gennemsøgte efterforskere politirapporter fra hele landet og andre for at identificere så mange ofre, der endnu ikke havde betalt løsesum.
Kilde: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/