Polis Kebangsaan Belanda telah mengganggu kumpulan perisian tebusan Deadbolt, mendapatkan semula kunci penyahsulitan 90% mangsa yang menghubungi polis, menurut laporan oleh Chainalysis.
Sejak 2021, Deadbolt telah memangsa perniagaan kecil dan kadangkala individu, menuntut wang tebusan yang lebih kecil yang boleh ditambah dengan cepat. Pada 2022, Deadbolt berjaya mengumpul lebih daripada $2.3 juta daripada kira-kira 5,000 mangsa. Purata bayaran tebusan ialah $476 — jauh lebih rendah daripada purata merentas semua penipuan perisian tebusan, yang berjumlah lebih $70,000.
Pembangun Deadbolt mereka cara unik untuk menyampaikan kunci penyahsulitan kepada mangsa. Ini memungkinkan untuk menyasarkan begitu ramai - dan seperti yang ditemui polis Belanda, akhirnya akan menjadi kejatuhan kumpulan itu.
Seperti yang dilaporkan oleh Chainalysis, Deadbolt mengeksploitasi kecacatan keselamatan dalam peranti storan yang diserang rangkaian yang dibuat oleh QNAP. Sebaik sahaja peranti mangsa telah dijangkiti, mesej ringkas mengarahkan mereka untuk menghantar jumlah bitcoin tertentu ke alamat dompet.
Deadbolt secara automatik menghantar kunci penyahsulitan kepada mangsa sebaik sahaja mangsa membayar dengan menghantar sejumlah kecil bitcoin ke alamat tebusan dengan kunci penyahsulitan ditulis dalam medan OP_RETURN. Chainalysis percaya bahawa pembangun mempunyai transaksi praprogram untuk menghantar 0.0000546 BTC (sekitar $1) ke alamat dompetnya sendiri setiap kali mangsa membayar, supaya dana tersedia untuk menyampaikan kunci penyahsulitan.
Polis Belanda menipu sistem Deadbolt
Kaedah yang agak canggih inilah yang menyebabkan Polis Negara Belanda mengganggu Deadbolt. Penyiasat menyedari bahawa mereka boleh menipu sistem untuk mengembalikan kunci penyahsulitan kepada ratusan mangsa — membenarkan mereka memulihkan data tanpa benar-benar mengeluarkan wang tebusan.
"Melihat melalui urus niaga dalam Chainalysis, kami melihat bahawa dalam beberapa kes, Deadbolt menyediakan kunci penyahsulitan sebelum pembayaran mangsa benar-benar disahkan pada blockchain," kata seorang penyiasat kepada Chainalysis.
Ini bermakna terdapat kira-kira 10 minit tetingkap — sementara urus niaga yang belum disahkan menunggu di mempool Bitcoin — untuk menipu sistem.
"Seorang mangsa boleh menghantar pembayaran kepada Deadbolt, menunggu Deadbolt menghantar kunci penyahsulitan, dan kemudian menggunakan bayaran gantian untuk menukar transaksi yang belum selesai, dan meminta pembayaran perisian tebusan dikembalikan kepada mangsa," kata penyiasat.
Polis Belanda menghadapi satu masalah, bagaimanapun - mereka mungkin hanya mempunyai satu pukulan sebelum Deadbolt menyedari apa yang berlaku. Jadi, bersama Interpol, penyiasat mencari laporan polis dari seluruh negara dan lain-lain untuk mengenal pasti berapa ramai mangsa yang belum membayar wang tebusan.
Baca lebih lanjut: Coinbase tidak bersetuju dengan denda hampir $4 juta daripada bank pusat Belanda
“Kami menulis skrip untuk menghantar transaksi secara automatik kepada Deadbolt, menunggu transaksi lain dengan kunci penyahsulitan sebagai balasan, dan menggunakan RBF pada transaksi pembayaran kami. Memandangkan kami tidak dapat mengujinya pada Deadbolt, kami terpaksa menjalankannya pada testnet untuk memastikan ia berfungsi,” kata penyiasat itu.
Setelah polis Belanda menggunakan skrip, Deadbolt tidak mengambil masa yang lama untuk menangkap dan menghentikan kaedah automatiknya untuk menghantar kunci penyahsulitan melalui OP_RETURN. Tetapi terima kasih kepada usaha yang diselaraskan, hampir 90% mangsa polis dapat memulihkan data mereka dan mengelak daripada membayar wang tebusan. Menurut pihak berkuasa, Deadbolt kehilangan "ratusan ribu dolar."
Polis Belanda berminat untuk mengingatkan orang ramai supaya melaporkan jenayah siber — lagipun, hanya melalui laporan polis mangsa boleh dikenal pasti. Ramai mangsa Deadbolt yang tidak pernah membuat laporan polis tidak dapat membayar balik bayaran tebusan.
Bagi Deadbolt, ia masih beroperasi. Walau bagaimanapun, kumpulan itu terpaksa menggunakan kaedah yang berbeza untuk menyampaikan kunci penyahsulitan, meningkatkan overhednya.
Untuk berita lebih lanjut, ikuti kami di Twitter and berita Google atau melanggan kami Youtube saluran.
Sumber: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/