Холандска национална полиција прекинула је рад групе Деадболт рансомваре, повративши кључеве за дешифровање 90% жртава које су контактирале полицију, наводи се у извештају компаније Цхаиналисис.
Од 2021. године, Деадболт напада мала предузећа, а понекад и појединце, захтевајући мање откупнине које се брзо могу прикупити. У 2022. Деадболт је успешно прикупио више од 2.3 милиона долара од око 5,000 жртава. Просечна исплата откупнине била је 476 долара — далеко нижа од просека у свим преварама са рансомвером, који износи преко 70,000 долара.
Деадболт-ови програмери су осмислили јединствен начин за испоруку кључева за дешифровање жртвама. Ово је омогућило да се циља толико много — и како је холандска полиција открила, то би на крају била пропаст групе.
Како је известио Цхаиналисис, Деадболт искоришћава безбедносни пропуст у уређајима за складиштење који су нападнути на мрежу које је направио КНАП. Једном када је уређај жртве заражен, једноставна порука их упућује да пошаљу одређену количину биткоина на адресу новчаника.
Деадболт аутоматски шаље жртвама кључ за дешифровање када жртва плати слањем мале количине биткоина на адресу за откуп са кључем за дешифровање уписаним у поље ОП_РЕТУРН. Цхаиналисис верује да су програмери имали унапред програмиране трансакције да пошаљу 0.0000546 БТЦ (око 1 УСД) на своју адресу новчаника сваки пут када жртва плати, тако да су средства доступна за преношење кључа за дешифровање.
Холандска полиција превари систем Деадболт
Овај прилично софистициран метод је оно што је навело холандску националну полицију да поремети Деадболта. Истражитељи су схватили да би могли да преваре систем да врати кључеве за дешифровање стотинама жртава – омогућавајући им да опораве податке без искашљавања откупнине.
„Прегледавајући трансакције у Цхаиналисис-у, видели смо да је у неким случајевима Деадболт давао кључ за дешифровање пре него што је уплата жртве заправо потврђена на блокчејну“, рекао је истражитељ за Цхаиналисис.
То је значило да је постојао око 10-минутни прозор - док је непотврђена трансакција чекала у биткоин-овом мемпулу - да се превари систем.
„Жртва би могла да пошаље уплату Деадболту, сачека да Деадболт пошаље кључ за дешифровање, а затим да користи замену за накнаду да промени трансакцију на чекању и да се уплата рансомвера врати жртви“, рекао је истражитељ.
Међутим, холандска полиција се суочила са једним проблемом - вероватно су имали само један хитац пре него што је Деадболт схватио шта се дешава. Тако су, заједно са Интерполом, истражитељи претраживали полицијске извештаје из целе земље и друге како би идентификовали што више жртава које још нису платиле откуп.
Извор: хттпс://протос.цом/дутцх-полице-рецовер-90-оф-вицтим-децриптион-кеис-ин-рансомваре-сцам/