Remiantis „Chainalysis“ ataskaita, Nyderlandų nacionalinė policija sutrikdė išpirkos reikalaujančių programų grupę „Deadbolt“ ir atgavo 90% aukų, kurios kreipėsi į policiją, iššifravimo raktus.
Nuo 2021 m. „Deadbolt“ grobė mažas įmones ir kartais privačius asmenis, reikalaudamas mažesnių išpirkų, kurios gali greitai padidėti. 2022 metais „Deadbolt“ iš maždaug 2.3 aukų sėkmingai surinko daugiau nei 5,000 mln. Vidutinė išpirkos suma buvo 476 USD – daug mažesnė už visų išpirkos reikalaujančių sukčių vidurkį, kuris siekia daugiau nei 70,000 XNUMX USD.
„Deadbolt“ kūrėjai sukūrė unikalų būdą aukoms pateikti iššifravimo raktus. Tai leido nusitaikyti į tiek daug – ir, kaip išsiaiškino Nyderlandų policija, galiausiai tai būtų grupės žlugimas.
Kaip pranešė „Chainalysis“, „Deadbolt“ išnaudoja QNAP sukurtų tinklo atakuotų saugojimo įrenginių saugumo trūkumą. Kai aukos įrenginys yra užkrėstas, paprasta žinute nurodoma išsiųsti tam tikrą bitkoinų kiekį piniginės adresu.
„Deadbolt“ automatiškai siunčia aukoms iššifravimo raktą, kai tik auka sumoka išsiųsdama nedidelį kiekį bitkoinų į išpirkos adresą su iššifravimo raktu, įrašytu lauke OP_RETURN. „Chainalysis“ mano, kad kūrėjai iš anksto užprogramavo operacijas, kad kiekvieną kartą, kai auka sumoka, išsiųstų 0.0000546 BTC (apie 1 USD) savo piniginės adresu, kad būtų galima gauti lėšų iššifravimo raktui perduoti.
Nyderlandų policijos apgaulė Deadbolt sistema
Dėl šio gana sudėtingo metodo Nyderlandų nacionalinė policija sutrukdė „Deadbolt“. Tyrėjai suprato, kad gali apgauti sistemą ir grąžinti iššifravimo raktus šimtams aukų, o tai leis jiems susigrąžinti duomenis be išpirkos.
„Peržiūrėdami „Chainalysis“ operacijas pamatėme, kad kai kuriais atvejais „Deadbolt“ pateikdavo iššifravimo raktą prieš tai, kai aukos mokėjimas iš tikrųjų buvo patvirtintas „Blockchain“, – „Chainalysis“ pasakojo tyrėjas.
Tai reiškė, kad buvo maždaug 10 minučių langas – kol nepatvirtintas sandoris laukė „Bitcoin“ atmintinėje – apgauti sistemą.
„Auka gali nusiųsti mokėjimą „Deadbolt“, palaukti, kol „Deadbolt“ išsiųs iššifravimo raktą, tada panaudoti pakeitimą mokesčiu, kad pakeistų laukiančią operaciją, o išpirkos reikalaujančios programos mokėjimas grąžintų aukai“, – sakė tyrėjas.
Tačiau Nyderlandų policija susidūrė su viena problema – greičiausiai jie turėjo tik vieną šūvį, kol Deadboltas suprato, kas vyksta. Taigi kartu su Interpolu tyrėjai ieškojo policijos pranešimų iš visos šalies ir kitų, kad nustatytų kuo daugiau aukų, kurios dar nesumokėjo išpirkos.
Šaltinis: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/