Ang Dutch National Police ay ginulo ang Deadbolt ransomware group, na nabawi ang mga decryption key ng 90% ng mga biktima na nakipag-ugnayan sa pulisya, ayon sa isang ulat ng Chainalysis.
Mula noong 2021, nabiktima ng Deadbolt ang mga maliliit na negosyo at kung minsan ay mga indibidwal, na humihingi ng mas maliliit na ransom na maaaring mabilis na madagdagan. Noong 2022, matagumpay na nakolekta ng Deadbolt ang higit sa $2.3 milyon mula sa humigit-kumulang 5,000 biktima. Ang average na ransom payment ay $476 — mas mababa kaysa sa average sa lahat ng ransomware scam, na nasa mahigit $70,000.
Ang mga developer ng Deadbolt ay nagdisenyo ng isang natatanging paraan upang maihatid ang mga decryption key sa mga biktima. Dahil dito, naging posible ang pag-target ng napakaraming — at gaya ng natuklasan ng Dutch police, sa huli ay ang pagbagsak ng grupo.
Tulad ng iniulat ng Chainalysis, sinasamantala ng Deadbolt ang isang depekto sa seguridad sa mga device ng storage na inaatake ng network na ginawa ng QNAP. Kapag nahawa na ang device ng biktima, isang simpleng mensahe ang nagtuturo sa kanila na magpadala ng partikular na halaga ng bitcoin sa isang wallet address.
Awtomatikong ipinapadala ng Deadbolt sa mga biktima ang decryption key sa sandaling magbayad ang biktima sa pamamagitan ng pagpapadala ng maliit na halaga ng bitcoin sa ransom address na may nakasulat na decryption key sa OP_RETURN field. Naniniwala ang Chainalysis na ang mga developer ay may mga paunang naka-program na transaksyon upang magpadala ng 0.0000546 BTC (humigit-kumulang $1) sa sarili nitong wallet address sa tuwing magbabayad ang isang biktima, upang ang mga pondo ay magagamit para ipaalam ang decryption key.
Ang Dutch police trick Deadbolt system
Ang medyo sopistikadong pamamaraan na ito ang nagbunsod sa Dutch National Police na guluhin ang Deadbolt. Napagtanto ng mga imbestigador na maaari nilang linlangin ang system na ibalik ang mga decryption key sa daan-daang mga biktima - na nagpapahintulot sa kanila na mabawi ang data nang hindi aktwal na inubo ang ransom.
"Sa pagtingin sa mga transaksyon sa Chainalysis, nakita namin na sa ilang mga kaso, ang Deadbolt ay nagbibigay ng decryption key bago aktwal na nakumpirma ang pagbabayad ng biktima sa blockchain," sinabi ng isang imbestigador sa Chainalysis.
Nangangahulugan ito na mayroong humigit-kumulang 10 minutong window — habang naghihintay ang hindi kumpirmadong transaksyon sa mempool ng Bitcoin — upang linlangin ang system.
"Maaaring ipadala ng isang biktima ang bayad sa Deadbolt, hintayin ang Deadbolt na ipadala ang decryption key, at pagkatapos ay gumamit ng replace-by-fee upang baguhin ang nakabinbing transaksyon, at ibalik ang bayad sa ransomware sa biktima," sabi ng imbestigador.
Ang pulisya ng Dutch ay nahaharap sa isang problema, gayunpaman - malamang na nagkaroon lamang sila ng isang shot bago matanto ni Deadbolt kung ano ang nangyayari. Kaya, kasama ng Interpol, hinanap ng mga imbestigador ang mga ulat ng pulisya mula sa buong bansa at iba pa upang matukoy kung gaano karaming mga biktima na hindi pa nagbabayad ng ransom.
Magbasa nang higit pa: Hindi sumasang-ayon ang Coinbase sa halos $4M na multa mula sa Dutch central bank
“Nagsulat kami ng script para awtomatikong magpadala ng transaksyon sa Deadbolt, maghintay ng isa pang transaksyon na may kapalit na decryption key, at gumamit ng RBF sa aming transaksyon sa pagbabayad. Dahil hindi namin ito ma-test sa Deadbolt, kinailangan naming patakbuhin ito sa mga testnet upang matiyak na gumagana ito, "sabi ng imbestigador.
Kapag na-deploy na ng Dutch police ang script, hindi nagtagal at nahuli ng Deadbolt ang automated na paraan nito sa paghahatid ng mga decryption key sa pamamagitan ng OP_RETURN. Ngunit salamat sa pinagsama-samang pagsisikap, halos 90% ng mga biktimang pulis ay nagawang mabawi ang kanilang data at maiwasan ang pagbabayad ng ransom. Ayon sa mga awtoridad, ang Deadbolt ay nawalan ng "daang libong dolyar."
Ang pulisya ng Dutch ay masigasig na paalalahanan ang publiko na mag-ulat ng cybercrime — pagkatapos ng lahat, ito ay sa pamamagitan lamang ng mga ulat ng pulisya na maaaring makilala ang mga biktima. Maraming mga biktima ng Deadbolt na hindi kailanman nagsampa ng mga ulat sa pulisya ay hindi nakabawi sa mga pagbabayad ng ransom.
Tulad ng para sa Deadbolt, ito ay gumagana pa rin. Gayunpaman, ang gang ay napipilitang magpatibay ng iba't ibang paraan ng paghahatid ng mga decryption key, na pinapataas ang overhead nito.
Para sa higit pang kaalamang balita, sundan kami sa kaba at Google News o mag-subscribe sa aming YouTube channel.
Pinagmulan: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/