Det nederlandske nasjonale politiet har forstyrret Deadbolt løsepengevaregruppen, og gjenopprettet dekrypteringsnøklene til 90 % av ofrene som kontaktet politiet, ifølge en rapport fra Chainalysis.
Siden 2021 har Deadbolt tæret på små bedrifter og noen ganger enkeltpersoner, og krevd mindre løsepenger som raskt kan øke. I 2022 samlet Deadbolt inn mer enn 2.3 millioner dollar fra rundt 5,000 ofre. Gjennomsnittlig løsepengebetaling var $476 - langt lavere enn gjennomsnittet for alle løsepenge-svindel, som ligger på over $70,000 XNUMX.
Deadbolts utviklere designet en unik måte å levere dekrypteringsnøkler til ofre. Dette gjorde det mulig å målrette så mange - og som det nederlandske politiet oppdaget, ville det til slutt bli gruppens fall.
Som rapportert av Chainalysis, utnytter Deadbolt en sikkerhetsfeil i nettverksangrepede lagringsenheter laget av QNAP. Når et offers enhet har blitt infisert, ber en enkel melding dem om å sende en bestemt mengde bitcoin til en lommebokadresse.
Deadbolt sender automatisk ofrene dekrypteringsnøkkelen når et offer betaler ved å sende en liten mengde bitcoin til løsepengeadressen med dekrypteringsnøkkelen skrevet i OP_RETURN-feltet. Chainalysis mener at utviklere hadde forhåndsprogrammerte transaksjoner til å sende 0.0000546 BTC (rundt $1) til sin egen lommebokadresse hver gang et offer betaler, slik at midler er tilgjengelige for å kommunisere dekrypteringsnøkkelen.
Nederlandsk politi lurer Deadbolt-systemet
Denne ganske sofistikerte metoden er det som fikk det nederlandske nasjonale politiet til å forstyrre Deadbolt. Etterforskere innså at de kunne lure systemet til å returnere dekrypteringsnøkler til hundrevis av ofre – slik at de kan gjenopprette data uten å faktisk hoste opp løsepenger.
"Når vi så gjennom transaksjonene i Chainalysis, så vi at i noen tilfeller ga Deadbolt dekrypteringsnøkkelen før offerets betaling faktisk ble bekreftet på blokkjeden," sa en etterforsker til Chainalysis.
Dette betydde at det var et vindu på omtrent 10 minutter – mens den ubekreftede transaksjonen satt og ventet i Bitcoins mempool – for å lure systemet.
"Et offer kan sende betalingen til Deadbolt, vente på at Deadbolt sender dekrypteringsnøkkelen, og deretter bruke erstatning-ved-gebyr for å endre den ventende transaksjonen, og få løsepenge-betalingen til å gå tilbake til offeret," sa etterforskeren.
Nederlandsk politi sto imidlertid overfor ett problem - de hadde sannsynligvis bare ett skudd før Deadbolt ville innse hva som skjedde. Så sammen med Interpol søkte etterforskere politirapporter fra hele landet og andre for å identifisere like mange ofre som ikke hadde betalt løsepenger ennå.
Les mer: Coinbase er uenig i en bot på nesten 4 millioner dollar fra den nederlandske sentralbanken
"Vi skrev et skript for å automatisk sende en transaksjon til Deadbolt, vente på en annen transaksjon med dekrypteringsnøkkelen i retur, og bruke RBF på betalingstransaksjonen vår. Siden vi ikke kunne teste den på Deadbolt, måtte vi kjøre den på testnett for å sikre at den fungerte, sa etterforskeren.
Når nederlandsk politi implementerte skriptet, tok det ikke lang tid før Deadbolt fanget opp og stoppet dens automatiserte metode for å levere dekrypteringsnøkler gjennom OP_RETURN. Men takket være koordinert innsats klarte nesten 90 % av ofrene politiet å gjenopprette dataene sine og unngå å betale løsepenger. Ifølge myndighetene tapte Deadbolt «hundretusenvis av dollar».
Nederlandsk politi er opptatt av å minne publikum på å rapportere nettkriminalitet - det var tross alt bare gjennom politirapporter at ofrene kunne identifiseres. Mange Deadbolt-ofre som aldri sendte inn politirapporter klarte ikke å få tilbake løsepenger.
Når det gjelder Deadbolt, fungerer den fortsatt. Gjengen blir imidlertid tvunget til å ta i bruk forskjellige metoder for å levere dekrypteringsnøkler, noe som øker overheaden.
For mer informerte nyheter, følg oss videre Twitter og Google Nyheter eller abonner på vår YouTube kanal.
Kilde: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/