Согласно отчету Chainalysis, национальная полиция Нидерландов уничтожила группу вымогателей Deadbolt, восстановив ключи дешифрования 90% жертв, которые связались с полицией.
С 2021 года Deadbolt охотится на малый бизнес, а иногда и на частных лиц, требуя меньших выкупов, которые могут быстро накапливаться. В 2022 году Deadbolt успешно собрал более 2.3 миллиона долларов от примерно 5,000 жертв. Средняя сумма выкупа составила 476 долларов, что намного ниже, чем в среднем по всем мошенничествам с программами-вымогателями, которые составляют более 70,000 XNUMX долларов.
Разработчики Deadbolt разработали уникальный способ доставки ключей дешифрования жертвам. Это позволило нацелиться на очень многих — и, как обнаружила голландская полиция, в конечном итоге привело к падению группы.
Как сообщает Chainalysis, Deadbolt использует брешь в системе безопасности в атакуемых по сети устройствах хранения данных, созданных QNAP. Как только устройство жертвы заражено, простое сообщение предписывает отправить определенное количество биткойнов на адрес кошелька.
Deadbolt автоматически отправляет жертве ключ дешифрования, как только жертва платит, отправляя небольшую сумму биткойнов на адрес выкупа с ключом дешифрования, записанным в поле OP_RETURN. Chainalysis считает, что у разработчиков были заранее запрограммированные транзакции для отправки 0.0000546 BTC (около 1 доллара США) на собственный адрес кошелька каждый раз, когда жертва платит, чтобы средства были доступны для передачи ключа дешифрования.
Голландская полиция обманывает систему Deadbolt
Именно этот довольно изощренный метод привел к тому, что голландская национальная полиция разрушила работу Deadbolt. Следователи поняли, что могут обманом заставить систему вернуть ключи дешифрования сотням жертв, что позволит им восстановить данные, фактически не требуя выкупа.
«Просматривая транзакции в Chainalysis, мы увидели, что в некоторых случаях Deadbolt предоставлял ключ дешифрования до того, как платеж жертвы был фактически подтвержден в блокчейне», — сказал следователь Chainalysis.
Это означало, что было примерно 10-минутное окно — пока неподтвержденная транзакция ждала в мемпуле Биткойна — чтобы обмануть систему.
«Жертва может отправить платеж Deadbolt, дождаться, пока Deadbolt отправит ключ дешифрования, а затем использовать замену на комиссию, чтобы изменить ожидающую транзакцию, и платеж от программы-вымогателя вернется к жертве», — сказал следователь.
Однако голландская полиция столкнулась с одной проблемой — скорее всего, у них был только один выстрел, прежде чем Дэдболт понял, что происходит. Так, совместно с Интерполом следователи просматривали отчеты полиции по всей стране и не только, чтобы выявить как можно больше жертв, которые еще не заплатили выкуп.
Прочитайте больше: Coinbase не согласна с штрафом почти в 4 миллиона долларов от центрального банка Нидерландов
«Мы написали скрипт для автоматической отправки транзакции в Deadbolt, ожидания другой транзакции с ключом дешифрования взамен и использования RBF в нашей платежной транзакции. Поскольку мы не могли протестировать его на Deadbolt, нам пришлось запустить его в тестовой сети, чтобы убедиться, что он работает», — сказал следователь.
Как только голландская полиция развернула скрипт, Deadbolt не потребовалось много времени, чтобы понять и остановить свой автоматический метод доставки ключей дешифрования через OP_RETURN. Но благодаря скоординированным усилиям почти 90% пострадавших полицейских смогли восстановить свои данные и избежать уплаты выкупа. По данным властей, Дэдболт потерял «сотни тысяч долларов».
Голландская полиция стремится напомнить общественности о необходимости сообщать о киберпреступлениях — в конце концов, жертвы могут быть идентифицированы только по полицейским отчетам. Многие жертвы Deadbolt, которые никогда не обращались в полицию, не смогли вернуть выкуп.
Что касается Deadbolt, он все еще работает. Однако банда вынуждена использовать другие методы доставки ключей дешифрования, что увеличивает ее накладные расходы.
Чтобы быть в курсе новостей, следите за нами на Twitter и Новости Google или подпишитесь на нашу YouTube канал.
Источник: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/