Det nederlandske nasjonale politiet har forstyrret Deadbolt løsepengevaregruppen, og gjenopprettet dekrypteringsnøklene til 90 % av ofrene som kontaktet politiet, ifølge en rapport fra Chainalysis.
Siden 2021 har Deadbolt tæret på små bedrifter og noen ganger enkeltpersoner, og krevd mindre løsepenger som raskt kan øke. I 2022 samlet Deadbolt inn mer enn 2.3 millioner dollar fra rundt 5,000 ofre. Gjennomsnittlig løsepengebetaling var $476 - langt lavere enn gjennomsnittet for alle løsepenge-svindel, som ligger på over $70,000 XNUMX.
Deadbolts utviklere designet en unik måte å levere dekrypteringsnøkler til ofre. Dette gjorde det mulig å målrette så mange - og som det nederlandske politiet oppdaget, ville det til slutt bli gruppens fall.
Som rapportert av Chainalysis, utnytter Deadbolt en sikkerhetsfeil i nettverksangrepede lagringsenheter laget av QNAP. Når et offers enhet har blitt infisert, ber en enkel melding dem om å sende en bestemt mengde bitcoin til en lommebokadresse.
Deadbolt sender automatisk ofrene dekrypteringsnøkkelen når et offer betaler ved å sende en liten mengde bitcoin til løsepengeadressen med dekrypteringsnøkkelen skrevet i OP_RETURN-feltet. Chainalysis mener at utviklere hadde forhåndsprogrammerte transaksjoner til å sende 0.0000546 BTC (rundt $1) til sin egen lommebokadresse hver gang et offer betaler, slik at midler er tilgjengelige for å kommunisere dekrypteringsnøkkelen.
Nederlandsk politi lurer Deadbolt-systemet
Denne ganske sofistikerte metoden er det som fikk det nederlandske nasjonale politiet til å forstyrre Deadbolt. Etterforskere innså at de kunne lure systemet til å returnere dekrypteringsnøkler til hundrevis av ofre – slik at de kan gjenopprette data uten å faktisk hoste opp løsepenger.
"Når vi så gjennom transaksjonene i Chainalysis, så vi at i noen tilfeller ga Deadbolt dekrypteringsnøkkelen før offerets betaling faktisk ble bekreftet på blokkjeden," sa en etterforsker til Chainalysis.
Dette betydde at det var et vindu på omtrent 10 minutter – mens den ubekreftede transaksjonen satt og ventet i Bitcoins mempool – for å lure systemet.
"Et offer kan sende betalingen til Deadbolt, vente på at Deadbolt sender dekrypteringsnøkkelen, og deretter bruke erstatning-ved-gebyr for å endre den ventende transaksjonen, og få løsepenge-betalingen til å gå tilbake til offeret," sa etterforskeren.
Nederlandsk politi sto imidlertid overfor ett problem - de hadde sannsynligvis bare ett skudd før Deadbolt ville innse hva som skjedde. Så sammen med Interpol søkte etterforskere politirapporter fra hele landet og andre for å identifisere like mange ofre som ikke hadde betalt løsepenger ennå.
Kilde: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/