Ang Dutch National Police ay ginulo ang Deadbolt ransomware group, na nabawi ang mga decryption key ng 90% ng mga biktima na nakipag-ugnayan sa pulisya, ayon sa isang ulat ng Chainalysis.
Mula noong 2021, nabiktima ng Deadbolt ang mga maliliit na negosyo at kung minsan ay mga indibidwal, na humihingi ng mas maliliit na ransom na maaaring mabilis na madagdagan. Noong 2022, matagumpay na nakolekta ng Deadbolt ang higit sa $2.3 milyon mula sa humigit-kumulang 5,000 biktima. Ang average na ransom payment ay $476 — mas mababa kaysa sa average sa lahat ng ransomware scam, na nasa mahigit $70,000.
Ang mga developer ng Deadbolt ay nagdisenyo ng isang natatanging paraan upang maihatid ang mga decryption key sa mga biktima. Dahil dito, naging posible ang pag-target ng napakaraming — at gaya ng natuklasan ng Dutch police, sa huli ay ang pagbagsak ng grupo.
Tulad ng iniulat ng Chainalysis, sinasamantala ng Deadbolt ang isang depekto sa seguridad sa mga device ng storage na inaatake ng network na ginawa ng QNAP. Kapag nahawa na ang device ng biktima, isang simpleng mensahe ang nagtuturo sa kanila na magpadala ng partikular na halaga ng bitcoin sa isang wallet address.
Awtomatikong ipinapadala ng Deadbolt sa mga biktima ang decryption key sa sandaling magbayad ang biktima sa pamamagitan ng pagpapadala ng maliit na halaga ng bitcoin sa ransom address na may nakasulat na decryption key sa OP_RETURN field. Naniniwala ang Chainalysis na ang mga developer ay may mga paunang naka-program na transaksyon upang magpadala ng 0.0000546 BTC (humigit-kumulang $1) sa sarili nitong wallet address sa tuwing magbabayad ang isang biktima, upang ang mga pondo ay magagamit para ipaalam ang decryption key.
Ang Dutch police trick Deadbolt system
Ang medyo sopistikadong pamamaraan na ito ang nagbunsod sa Dutch National Police na guluhin ang Deadbolt. Napagtanto ng mga imbestigador na maaari nilang linlangin ang system na ibalik ang mga decryption key sa daan-daang mga biktima - na nagpapahintulot sa kanila na mabawi ang data nang hindi aktwal na inubo ang ransom.
"Sa pagtingin sa mga transaksyon sa Chainalysis, nakita namin na sa ilang mga kaso, ang Deadbolt ay nagbibigay ng decryption key bago aktwal na nakumpirma ang pagbabayad ng biktima sa blockchain," sinabi ng isang imbestigador sa Chainalysis.
Nangangahulugan ito na mayroong humigit-kumulang 10 minutong window — habang naghihintay ang hindi kumpirmadong transaksyon sa mempool ng Bitcoin — upang linlangin ang system.
"Maaaring ipadala ng isang biktima ang bayad sa Deadbolt, hintayin ang Deadbolt na ipadala ang decryption key, at pagkatapos ay gumamit ng replace-by-fee upang baguhin ang nakabinbing transaksyon, at ibalik ang bayad sa ransomware sa biktima," sabi ng imbestigador.
Ang pulisya ng Dutch ay nahaharap sa isang problema, gayunpaman - malamang na nagkaroon lamang sila ng isang shot bago matanto ni Deadbolt kung ano ang nangyayari. Kaya, kasama ng Interpol, hinanap ng mga imbestigador ang mga ulat ng pulisya mula sa buong bansa at iba pa upang matukoy kung gaano karaming mga biktima na hindi pa nagbabayad ng ransom.
Pinagmulan: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/