Согласно отчету Chainalysis, национальная полиция Нидерландов уничтожила группу вымогателей Deadbolt, восстановив ключи дешифрования 90% жертв, которые связались с полицией.
С 2021 года Deadbolt охотится на малый бизнес, а иногда и на частных лиц, требуя меньших выкупов, которые могут быстро накапливаться. В 2022 году Deadbolt успешно собрал более 2.3 миллиона долларов от примерно 5,000 жертв. Средняя сумма выкупа составила 476 долларов, что намного ниже, чем в среднем по всем мошенничествам с программами-вымогателями, которые составляют более 70,000 XNUMX долларов.
Разработчики Deadbolt разработали уникальный способ доставки ключей дешифрования жертвам. Это позволило нацелиться на очень многих — и, как обнаружила голландская полиция, в конечном итоге привело к падению группы.
Как сообщает Chainalysis, Deadbolt использует брешь в системе безопасности в атакуемых по сети устройствах хранения данных, созданных QNAP. Как только устройство жертвы заражено, простое сообщение предписывает отправить определенное количество биткойнов на адрес кошелька.
Deadbolt автоматически отправляет жертве ключ дешифрования, как только жертва платит, отправляя небольшую сумму биткойнов на адрес выкупа с ключом дешифрования, записанным в поле OP_RETURN. Chainalysis считает, что у разработчиков были заранее запрограммированные транзакции для отправки 0.0000546 BTC (около 1 доллара США) на собственный адрес кошелька каждый раз, когда жертва платит, чтобы средства были доступны для передачи ключа дешифрования.
Голландская полиция обманывает систему Deadbolt
Именно этот довольно изощренный метод привел к тому, что голландская национальная полиция разрушила работу Deadbolt. Следователи поняли, что могут обманом заставить систему вернуть ключи дешифрования сотням жертв, что позволит им восстановить данные, фактически не требуя выкупа.
«Просматривая транзакции в Chainalysis, мы увидели, что в некоторых случаях Deadbolt предоставлял ключ дешифрования до того, как платеж жертвы был фактически подтвержден в блокчейне», — сказал следователь Chainalysis.
Это означало, что было примерно 10-минутное окно — пока неподтвержденная транзакция ждала в мемпуле Биткойна — чтобы обмануть систему.
«Жертва может отправить платеж Deadbolt, дождаться, пока Deadbolt отправит ключ дешифрования, а затем использовать замену на комиссию, чтобы изменить ожидающую транзакцию, и платеж от программы-вымогателя вернется к жертве», — сказал следователь.
Однако голландская полиция столкнулась с одной проблемой — скорее всего, у них был только один выстрел, прежде чем Дэдболт понял, что происходит. Так, совместно с Интерполом следователи просматривали отчеты полиции по всей стране и не только, чтобы выявить как можно больше жертв, которые еще не заплатили выкуп.
Источник: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/