Chainalysise raporti kohaselt on Hollandi riiklik politsei seganud Deadbolti lunavararühma, saades tagasi 90% politseiga ühendust võtnud ohvrite dekrüpteerimisvõtmed.
Alates 2021. aastast on Deadbolt röövinud väikeettevõtteid ja mõnikord ka üksikisikuid, nõudes väiksemaid lunaraha, mis võivad kiiresti kokku saada. 2022. aastal kogus Deadbolt edukalt umbes 2.3 ohvrilt üle 5,000 miljoni dollari. Keskmine lunarahamakse oli 476 dollarit – palju madalam kui kõigi lunavarapettuste keskmine, mis on üle 70,000 XNUMX dollari.
Deadbolti arendajad töötasid välja ainulaadse viisi dekrüpteerimisvõtmete ohvritele edastamiseks. See võimaldas sihikule võtta nii paljusid – ja nagu Hollandi politsei avastas, oleks see lõpuks rühmituse allakäik.
Nagu Chainalysis teatas, kasutab Deadbolt ära QNAPi toodetud võrgurünnakuga salvestusseadmete turvaviga. Kui ohvri seade on nakatunud, annab lihtne sõnum talle käsu saata rahakoti aadressile konkreetne kogus bitcoine.
Deadbolt saadab ohvritele automaatselt dekrüpteerimisvõtme, kui ohver maksab, saates väikese koguse bitcoini lunaraha aadressile, mille dekrüpteerimisvõti on kirjutatud väljale OP_RETURN. Chainalysis usub, et arendajad olid eelnevalt programmeeritud tehingute saatmiseks 0.0000546 BTC (umbes 1 dollar) oma rahakoti aadressile iga kord, kui ohver maksab, nii et dekrüpteerimisvõtme edastamiseks on raha saadaval.
Hollandi politsei trikk Deadbolt süsteemi
See üsna keerukas meetod viis Hollandi riikliku politsei Deadbolti häirimisele. Uurijad mõistsid, et nad võivad süsteemi petta, et tagastada sadadele ohvritele dekrüpteerimisvõtmed, võimaldades neil andmeid taastada ilma lunaraha välja köhimata.
"Chainalysises tehinguid vaadates nägime, et mõnel juhul andis Deadbolt dekrüpteerimisvõtme välja enne, kui ohvri makse plokiahelas tegelikult kinnitati," rääkis uurija Chainalysisele.
See tähendas, et süsteemi petmiseks oli umbes 10-minutiline aken – samal ajal kui kinnitamata tehing ootas Bitcoini mempoolis.
"Ohver võib saata makse Deadboltile, oodata, kuni Deadbolt saadab dekrüpteerimisvõtme, ja seejärel kasutada ooteloleva tehingu muutmiseks tasu asendamist ning lunavaramakse tagastatakse ohvrile," ütles uurija.
Hollandi politsei seisis aga silmitsi ühe probleemiga – neil oli tõenäoliselt vaid üks lask, enne kui Deadbolt aru sai, mis toimub. Nii otsisid uurijad koos Interpoliga politsei teateid kogu riigist ja mujalt, et tuvastada nii palju ohvreid, kes polnud veel lunaraha tasunud.
Loe rohkem: Coinbase ei nõustu Hollandi keskpanga peaaegu 4 miljoni dollari suuruse trahviga
„Kirjutasime skripti tehingu automaatseks saatmiseks Deadboltile, ootame vastutasuks uut tehingut dekrüpteerimisvõtmega ja kasutame oma maksetehingul RBF-i. Kuna me ei saanud seda Deadboltis testida, pidime selle toimivuses veendumiseks käivitama testvõrkudes, ”ütles uurija.
Kui Hollandi politsei skripti kasutusele võttis, ei kulunud kaua aega, kui Deadbolt sai aru ja peatas oma automaatse meetodi dekrüpteerimisvõtmete edastamiseks OP_RETURN kaudu. Kuid tänu koordineeritud jõupingutustele suutis politsei peaaegu 90% ohvritest oma andmed taastada ja vältida lunaraha maksmist. Võimude sõnul kaotas Deadbolt "sadu tuhandeid dollareid".
Hollandi politsei tuletab avalikkusele meelde küberkuritegevusest teatamist – ohvreid suudeti ju tuvastada ainult politsei teadete kaudu. Paljud Deadbolti ohvrid, kes kunagi politseile avaldusi ei esitanud, ei saanud lunaraha tagasi.
Mis puutub Deadbolti, siis see töötab endiselt. Kuid jõuk on sunnitud kasutama erinevaid meetodeid dekrüpteerimisvõtmete edastamiseks, suurendades sellega oma üldkulusid.
Täpsemate uudiste saamiseks jälgige meid puperdama ja Google'i uudised või tellige meie Youtube kanal.
Allikas: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/