Policia Kombëtare Hollandeze ka ndërprerë grupin e ransomware Deadbolt, duke rikuperuar çelësat e deshifrimit të 90% të viktimave që kontaktuan policinë, sipas një raporti nga Chainalysis.
Që nga viti 2021, Deadbolt ka prerë bizneset e vogla dhe ndonjëherë edhe individët, duke kërkuar shpërblime më të vogla që mund të shtohen shpejt. Në vitin 2022, Deadbolt mblodhi me sukses më shumë se 2.3 milionë dollarë nga rreth 5,000 viktima. Pagesa mesatare e shpërblesës ishte 476 dollarë – shumë më e ulët se mesatarja në të gjitha mashtrimet e ransomware, e cila qëndron në mbi 70,000 dollarë.
Zhvilluesit e Deadbolt projektuan një mënyrë unike për t'u dhënë viktimave çelësat e deshifrimit. Kjo bëri të mundur shënjestrimin e kaq shumë njerëzve - dhe siç zbuloi policia holandeze, përfundimisht do të ishte rënia e grupit.
Siç raportohet nga Chainalysis, Deadbolt shfrytëzon një të metë sigurie në pajisjet e ruajtjes së sulmuar nga rrjeti të bëra nga QNAP. Pasi pajisja e viktimës është infektuar, një mesazh i thjeshtë i udhëzon ata të dërgojnë një sasi specifike bitcoin në një adresë portofol.
Deadbolt u dërgon viktimave automatikisht çelësin e deshifrimit pasi viktima paguan duke dërguar një sasi të vogël bitcoin në adresën e shpërblesës me çelësin e deshifrimit të shkruar në fushën OP_RETURN. Chainalysis beson se zhvilluesit kishin transaksione të para-programuara për të dërguar 0.0000546 BTC (rreth 1 dollarë) në adresën e portofolit të vet sa herë që një viktimë paguan, në mënyrë që fondet të jenë të disponueshme për të komunikuar çelësin e deshifrimit.
Policia holandeze mashtron sistemin Deadbolt
Kjo metodë mjaft e sofistikuar është ajo që e çoi Policinë Kombëtare Holandeze të ndërpresë Deadbolt. Hetuesit e kuptuan se mund ta mashtronin sistemin për t'u kthyer çelësat e deshifrimit qindra viktimave – duke i lejuar ata të rikuperojnë të dhënat pa marrë në të vërtetë shpërblimin.
“Duke parë përmes transaksioneve në Chainalysis, ne pamë se në disa raste, Deadbolt po jepte çelësin e deshifrimit përpara se pagesa e viktimës të konfirmohej në të vërtetë në blockchain,” tha një hetues për Chainalysis.
Kjo do të thoshte se kishte rreth 10 minuta dritare – ndërkohë që transaksioni i pakonfirmuar qëndronte në pritje në mempool-in e Bitcoin – për të mashtruar sistemin.
"Një viktimë mund t'i dërgojë pagesën Deadbolt, të presë që Deadbolt të dërgojë çelësin e deshifrimit dhe më pas të përdorë zëvendësimin me tarifë për të ndryshuar transaksionin në pritje dhe që pagesa e ransomware t'i kthehet viktimës," tha hetuesi.
Policia holandeze u përball me një problem, megjithatë - ata me siguri kishin vetëm një të shtënë përpara se Deadbolt të kuptonte se çfarë po ndodhte. Kështu, së bashku me Interpolin, hetuesit kontrolluan raportet e policisë nga i gjithë vendi dhe të tjera për të identifikuar sa më shumë viktima që nuk e kishin paguar ende shpërblimin.
Lexo më shumë: Coinbase nuk pajtohet me gjobën pothuajse 4 milion dollarë nga banka qendrore holandeze
“Ne kemi shkruar një skript për të dërguar automatikisht një transaksion në Deadbolt, për të pritur për një transaksion tjetër me çelësin e deshifrimit në këmbim dhe për të përdorur RBF në transaksionin tonë të pagesës. Meqenëse nuk mund ta testonim në Deadbolt, na u desh ta përdornim në rrjete testimi për t'u siguruar që funksiononte, "tha hetuesi.
Pasi policia holandeze vendosi skriptin, nuk iu desh shumë kohë që Deadbolt të kapte dhe të ndalonte metodën e tij të automatizuar të shpërndarjes së çelësave të deshifrimit përmes OP_RETURN. Por falë përpjekjeve të koordinuara, pothuajse 90% e policisë së viktimave ishin në gjendje të rikuperonin të dhënat e tyre dhe të shmangnin pagesën e shpërblimit. Sipas autoriteteve, Deadbolt humbi "qindra mijëra dollarë".
Policia holandeze është e prirur t'i kujtojë publikut të raportojë krimin kibernetik – në fund të fundit, viktimat mund të identifikoheshin vetëm përmes raporteve të policisë. Shumë viktima të Deadbolt që nuk kanë paraqitur kurrë raporte në polici nuk ishin në gjendje të rikuperonin pagesat e shpërblesës.
Sa për Deadbolt, ai është ende duke funksionuar. Megjithatë, banda është e detyruar të adoptojë metoda të ndryshme të dhënies së çelësave të deshifrimit, duke rritur shpenzimet e saj.
Për më shumë lajme të informuara, na ndiqni në Twitter Google News ose pajtohuni në tonë YouTube kanal.
Burimi: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/