המשטרה הלאומית של הולנד שיבשה את קבוצת תוכנות הכופר Deadbolt, ושחזרה את מפתחות הפענוח של 90% מהקורבנות שפנו למשטרה, על פי דיווח של Chainalysis.
מאז 2021, Deadbolt טרף עסקים קטנים ולפעמים אנשים פרטיים, ודורש כופר קטן יותר שיכול להצטבר במהירות. בשנת 2022, Deadbolt אסף בהצלחה יותר מ-2.3 מיליון דולר מכ-5,000 קורבנות. תשלום הכופר הממוצע היה 476 דולר - נמוך בהרבה מהממוצע בכל הונאות תוכנות הכופר, שעומד על למעלה מ-70,000 דולר.
המפתחים של Deadbolt תכננו דרך ייחודית לספק מפתחות פענוח לקורבנות. זה איפשר לכוון לרבים כל כך - וכפי שגילתה המשטרה ההולנדית, בסופו של דבר תהיה הנפילה של הקבוצה.
כפי שדווח על ידי Chainalysis, Deadbolt מנצל ליקוי אבטחה בהתקני אחסון מותקפים ברשת מתוצרת QNAP. לאחר שהמכשיר של הקורבן נגוע, הודעה פשוטה מורה לו לשלוח כמות מסוימת של ביטקוין לכתובת ארנק.
Deadbolt שולח אוטומטית לקורבנות את מפתח הפענוח ברגע שקורבן משלם על ידי שליחת כמות קטנה של ביטקוין לכתובת הכופר עם מפתח הפענוח כתוב בשדה OP_RETURN. Chainalysis מאמינה שלמפתחים תכנתו מראש עסקאות לשלוח 0.0000546 BTC (בסביבות $1) לכתובת הארנק שלה בכל פעם שקורבן משלם, כך שזמינים כספים להעברת מפתח הפענוח.
משטרת הולנד טריק מערכת Deadbolt
השיטה המתוחכמת למדי הזו היא שהובילה את המשטרה הלאומית ההולנדית לשבש את Deadbolt. החוקרים הבינו שהם יכולים להערים על המערכת להחזיר מפתחות פענוח למאות קורבנות - מה שיאפשר להם לשחזר נתונים מבלי להשתעל ממש את הכופר.
"בבדיקה של העסקאות ב-Chainalysis, ראינו שבמקרים מסוימים, Deadbolt סיפק את מפתח הפענוח לפני שהתשלום של הקורבן אושר בפועל בבלוקצ'יין", אמר חוקר ל-Chainalysis.
המשמעות היא שהיה בערך חלון של 10 דקות - בזמן שהעסקה הלא מאושרת ישבה והמתינה ב-mempool של ביטקוין - כדי להערים על המערכת.
"קורבן יכול לשלוח את התשלום ל-Deadbolt, לחכות ש-Deadbolt ישלח את מפתח הפענוח, ואז להשתמש ב-replace-by-fee כדי לשנות את העסקה הממתינה, ולתשלום כופר יחזור לקורבן", אמר החוקר.
עם זאת, המשטרה ההולנדית התמודדה עם בעיה אחת - כנראה הייתה לה רק ירייה אחת לפני שדדבולט יבין מה קורה. לכן, יחד עם האינטרפול, חוקרים ערכו חיפוש בדוחות משטרה מכל רחבי הארץ ואחרים כדי לזהות כמה שיותר קורבנות שעדיין לא שילמו את הכופר.
קרא עוד: Coinbase לא מסכים עם קנס של כמעט 4 מיליון דולר מהבנק המרכזי ההולנדי
"כתבנו סקריפט לשלוח עסקה אוטומטית ל-Deadbolt, לחכות לעסקה נוספת עם מפתח הפענוח בתמורה, ולהשתמש ב-RBF בעסקת התשלום שלנו. מכיוון שלא יכולנו לבדוק את זה ב-Deadbolt, היינו צריכים להפעיל את זה ברשתות בדיקה כדי לוודא שזה עובד", אמר החוקר.
לאחר שהמשטרה ההולנדית פרסה את הסקריפט, לא לקח זמן רב עד ש-Deadbolt קלט ועצר את השיטה האוטומטית שלה לספק מפתחות פענוח דרך OP_RETURN. אבל הודות למאמצים מתואמים, כמעט 90% מהקורבנות הצליחו לשחזר את הנתונים שלהם ולהימנע מתשלום הכופר. לפי הרשויות, Deadbolt הפסיד "מאות אלפי דולרים".
משטרת הולנד מעוניינת להזכיר לציבור לדווח על פשעי סייבר - אחרי הכל, רק באמצעות דיווחי המשטרה ניתן היה לזהות קורבנות. קורבנות רבים של Deadbolt שמעולם לא הגישו דוחות במשטרה לא הצליחו להחזיר את תשלומי הכופר.
לגבי Deadbolt, הוא עדיין פועל. עם זאת, החבורה נאלצת לאמץ שיטות שונות למסירת מפתחות פענוח, מה שמעלה את התקורה שלה.
לחדשות מושכלות יותר, עקבו אחרינו טויטר ו חדשות גוגל או הירשם ל- YouTube ערוץ.
מקור: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/