Remiantis „Chainalysis“ ataskaita, Nyderlandų nacionalinė policija sutrikdė išpirkos reikalaujančių programų grupę „Deadbolt“ ir atgavo 90% aukų, kurios kreipėsi į policiją, iššifravimo raktus.
Nuo 2021 m. „Deadbolt“ grobė mažas įmones ir kartais privačius asmenis, reikalaudamas mažesnių išpirkų, kurios gali greitai padidėti. 2022 metais „Deadbolt“ iš maždaug 2.3 aukų sėkmingai surinko daugiau nei 5,000 mln. Vidutinė išpirkos suma buvo 476 USD – daug mažesnė už visų išpirkos reikalaujančių sukčių vidurkį, kuris siekia daugiau nei 70,000 XNUMX USD.
„Deadbolt“ kūrėjai sukūrė unikalų būdą aukoms pateikti iššifravimo raktus. Tai leido nusitaikyti į tiek daug – ir, kaip išsiaiškino Nyderlandų policija, galiausiai tai būtų grupės žlugimas.
Kaip pranešė „Chainalysis“, „Deadbolt“ išnaudoja QNAP sukurtų tinklo atakuotų saugojimo įrenginių saugumo trūkumą. Kai aukos įrenginys yra užkrėstas, paprasta žinute nurodoma išsiųsti tam tikrą bitkoinų kiekį piniginės adresu.
„Deadbolt“ automatiškai siunčia aukoms iššifravimo raktą, kai tik auka sumoka išsiųsdama nedidelį kiekį bitkoinų į išpirkos adresą su iššifravimo raktu, įrašytu lauke OP_RETURN. „Chainalysis“ mano, kad kūrėjai iš anksto užprogramavo operacijas, kad kiekvieną kartą, kai auka sumoka, išsiųstų 0.0000546 BTC (apie 1 USD) savo piniginės adresu, kad būtų galima gauti lėšų iššifravimo raktui perduoti.
Nyderlandų policijos apgaulė Deadbolt sistema
Dėl šio gana sudėtingo metodo Nyderlandų nacionalinė policija sutrukdė „Deadbolt“. Tyrėjai suprato, kad gali apgauti sistemą ir grąžinti iššifravimo raktus šimtams aukų, o tai leis jiems susigrąžinti duomenis be išpirkos.
„Peržiūrėdami „Chainalysis“ operacijas pamatėme, kad kai kuriais atvejais „Deadbolt“ pateikdavo iššifravimo raktą prieš tai, kai aukos mokėjimas iš tikrųjų buvo patvirtintas „Blockchain“, – „Chainalysis“ pasakojo tyrėjas.
Tai reiškė, kad buvo maždaug 10 minučių langas – kol nepatvirtintas sandoris laukė „Bitcoin“ atmintinėje – apgauti sistemą.
„Auka gali nusiųsti mokėjimą „Deadbolt“, palaukti, kol „Deadbolt“ išsiųs iššifravimo raktą, tada panaudoti pakeitimą mokesčiu, kad pakeistų laukiančią operaciją, o išpirkos reikalaujančios programos mokėjimas grąžintų aukai“, – sakė tyrėjas.
Tačiau Nyderlandų policija susidūrė su viena problema – greičiausiai jie turėjo tik vieną šūvį, kol Deadboltas suprato, kas vyksta. Taigi kartu su Interpolu tyrėjai ieškojo policijos pranešimų iš visos šalies ir kitų, kad nustatytų kuo daugiau aukų, kurios dar nesumokėjo išpirkos.
Plačiau paskaitykite čia: „Coinbase“ nesutinka su beveik 4 mln. USD bauda iš Nyderlandų centrinio banko
„Parašėme scenarijų, skirtą automatiškai išsiųsti operaciją „Deadbolt“, laukti kitos operacijos su iššifravimo raktu ir naudoti RBF savo mokėjimo operacijoje. Kadangi negalėjome jo išbandyti „Deadbolt“, turėjome jį paleisti testiniuose tinkluose, kad įsitikintume, ar jis veikia“, – sakė tyrėjas.
Olandijos policijai įdiegus scenarijų, neilgai trukus „Deadbolt“ įsisavino ir sustabdė automatizuotą iššifravimo raktų pateikimo metodą per OP_RETURN. Tačiau koordinuotų pastangų dėka beveik 90% nukentėjusiųjų policija sugebėjo susigrąžinti savo duomenis ir išvengti išpirkos mokėjimo. Pasak valdžios institucijų, Deadboltas prarado „šimtus tūkstančių dolerių“.
Nyderlandų policija nori priminti visuomenei pranešti apie elektroninius nusikaltimus – juk tik policijos pranešimais buvo galima nustatyti aukas. Daugelis Deadbolto aukų, kurios niekada nepateikė pranešimų policijai, negalėjo susigrąžinti išpirkų.
Kalbant apie „Deadbolt“, jis vis dar veikia. Tačiau gauja yra priversta taikyti skirtingus iššifravimo raktų pateikimo būdus, padidindama savo išlaidas.
Norėdami gauti daugiau informacijos, sekite mus Twitter ir "Google" naujienos arba užsiprenumeruokite mūsų "YouTube" kanalą.
Šaltinis: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/