Policia Kombëtare Hollandeze ka ndërprerë grupin e ransomware Deadbolt, duke rikuperuar çelësat e deshifrimit të 90% të viktimave që kontaktuan policinë, sipas një raporti nga Chainalysis.
Që nga viti 2021, Deadbolt ka prerë bizneset e vogla dhe ndonjëherë edhe individët, duke kërkuar shpërblime më të vogla që mund të shtohen shpejt. Në vitin 2022, Deadbolt mblodhi me sukses më shumë se 2.3 milionë dollarë nga rreth 5,000 viktima. Pagesa mesatare e shpërblesës ishte 476 dollarë – shumë më e ulët se mesatarja në të gjitha mashtrimet e ransomware, e cila qëndron në mbi 70,000 dollarë.
Zhvilluesit e Deadbolt projektuan një mënyrë unike për t'u dhënë viktimave çelësat e deshifrimit. Kjo bëri të mundur shënjestrimin e kaq shumë njerëzve - dhe siç zbuloi policia holandeze, përfundimisht do të ishte rënia e grupit.
Siç raportohet nga Chainalysis, Deadbolt shfrytëzon një të metë sigurie në pajisjet e ruajtjes së sulmuar nga rrjeti të bëra nga QNAP. Pasi pajisja e viktimës është infektuar, një mesazh i thjeshtë i udhëzon ata të dërgojnë një sasi specifike bitcoin në një adresë portofol.
Deadbolt u dërgon viktimave automatikisht çelësin e deshifrimit pasi viktima paguan duke dërguar një sasi të vogël bitcoin në adresën e shpërblesës me çelësin e deshifrimit të shkruar në fushën OP_RETURN. Chainalysis beson se zhvilluesit kishin transaksione të para-programuara për të dërguar 0.0000546 BTC (rreth 1 dollarë) në adresën e portofolit të vet sa herë që një viktimë paguan, në mënyrë që fondet të jenë të disponueshme për të komunikuar çelësin e deshifrimit.
Policia holandeze mashtron sistemin Deadbolt
Kjo metodë mjaft e sofistikuar është ajo që e çoi Policinë Kombëtare Holandeze të ndërpresë Deadbolt. Hetuesit e kuptuan se mund ta mashtronin sistemin për t'u kthyer çelësat e deshifrimit qindra viktimave – duke i lejuar ata të rikuperojnë të dhënat pa marrë në të vërtetë shpërblimin.
“Duke parë përmes transaksioneve në Chainalysis, ne pamë se në disa raste, Deadbolt po jepte çelësin e deshifrimit përpara se pagesa e viktimës të konfirmohej në të vërtetë në blockchain,” tha një hetues për Chainalysis.
Kjo do të thoshte se kishte rreth 10 minuta dritare – ndërkohë që transaksioni i pakonfirmuar qëndronte në pritje në mempool-in e Bitcoin – për të mashtruar sistemin.
"Një viktimë mund t'i dërgojë pagesën Deadbolt, të presë që Deadbolt të dërgojë çelësin e deshifrimit dhe më pas të përdorë zëvendësimin me tarifë për të ndryshuar transaksionin në pritje dhe që pagesa e ransomware t'i kthehet viktimës," tha hetuesi.
Policia holandeze u përball me një problem, megjithatë - ata me siguri kishin vetëm një të shtënë përpara se Deadbolt të kuptonte se çfarë po ndodhte. Kështu, së bashku me Interpolin, hetuesit kontrolluan raportet e policisë nga i gjithë vendi dhe të tjera për të identifikuar sa më shumë viktima që nuk e kishin paguar ende shpërblimin.
Burimi: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/