Холандска национална полиција прекинула је рад групе Деадболт рансомваре, повративши кључеве за дешифровање 90% жртава које су контактирале полицију, наводи се у извештају компаније Цхаиналисис.
Од 2021. године, Деадболт напада мала предузећа, а понекад и појединце, захтевајући мање откупнине које се брзо могу прикупити. У 2022. Деадболт је успешно прикупио више од 2.3 милиона долара од око 5,000 жртава. Просечна исплата откупнине била је 476 долара — далеко нижа од просека у свим преварама са рансомвером, који износи преко 70,000 долара.
Деадболт-ови програмери су осмислили јединствен начин за испоруку кључева за дешифровање жртвама. Ово је омогућило да се циља толико много — и како је холандска полиција открила, то би на крају била пропаст групе.
Како је известио Цхаиналисис, Деадболт искоришћава безбедносни пропуст у уређајима за складиштење који су нападнути на мрежу које је направио КНАП. Једном када је уређај жртве заражен, једноставна порука их упућује да пошаљу одређену количину биткоина на адресу новчаника.
Деадболт аутоматски шаље жртвама кључ за дешифровање када жртва плати слањем мале количине биткоина на адресу за откуп са кључем за дешифровање уписаним у поље ОП_РЕТУРН. Цхаиналисис верује да су програмери имали унапред програмиране трансакције да пошаљу 0.0000546 БТЦ (око 1 УСД) на своју адресу новчаника сваки пут када жртва плати, тако да су средства доступна за преношење кључа за дешифровање.
Холандска полиција превари систем Деадболт
Овај прилично софистициран метод је оно што је навело холандску националну полицију да поремети Деадболта. Истражитељи су схватили да би могли да преваре систем да врати кључеве за дешифровање стотинама жртава – омогућавајући им да опораве податке без искашљавања откупнине.
„Прегледавајући трансакције у Цхаиналисис-у, видели смо да је у неким случајевима Деадболт давао кључ за дешифровање пре него што је уплата жртве заправо потврђена на блокчејну“, рекао је истражитељ за Цхаиналисис.
То је значило да је постојао око 10-минутни прозор - док је непотврђена трансакција чекала у биткоин-овом мемпулу - да се превари систем.
„Жртва би могла да пошаље уплату Деадболту, сачека да Деадболт пошаље кључ за дешифровање, а затим да користи замену за накнаду да промени трансакцију на чекању и да се уплата рансомвера врати жртви“, рекао је истражитељ.
Међутим, холандска полиција се суочила са једним проблемом - вероватно су имали само један хитац пре него што је Деадболт схватио шта се дешава. Тако су, заједно са Интерполом, истражитељи претраживали полицијске извештаје из целе земље и друге како би идентификовали што више жртава које још нису платиле откуп.
Опширније: Цоинбасе се не слаже са скоро 4 милиона долара казне холандске централне банке
„Написали смо скрипту да аутоматски пошаљемо трансакцију Деадболту, сачекамо другу трансакцију са кључем за дешифровање заузврат и користимо РБФ за нашу трансакцију плаћања. Пошто нисмо могли да га тестирамо на Деадболту, морали смо да га покренемо на тест мрежама да бисмо били сигурни да ради“, рекао је истражитељ.
Када је холандска полиција применила скрипту, није требало дуго да Деадболт ухвати и заустави свој аутоматизовани метод испоруке кључева за дешифровање преко ОП_РЕТУРН. Али захваљујући координисаним напорима, скоро 90% полицајаца жртава успело је да поврати своје податке и избегне плаћање откупнине. Према наводима власти, Деадболт је изгубио „стотине хиљада долара“.
Холандска полиција жели да подсети јавност да пријави сајбер криминал — на крају крајева, жртве су могле бити идентификоване само на основу полицијских извештаја. Многе жртве Деадболта које никада нису поднеле полицијске извештаје нису могле да надокнаде откупнину.
Што се тиче Деадболта, он још увек ради. Међутим, група је принуђена да усвоји различите методе испоруке кључева за дешифровање, што повећава трошкове.
За детаљније вести, пратите нас Twitter Гоогле вести или се претплатите на наш ИоуТубе канал.
Извор: хттпс://протос.цом/дутцх-полице-рецовер-90-оф-вицтим-децриптион-кеис-ин-рансомваре-сцам/