המשטרה הלאומית של הולנד שיבשה את קבוצת תוכנות הכופר Deadbolt, ושחזרה את מפתחות הפענוח של 90% מהקורבנות שפנו למשטרה, על פי דיווח של Chainalysis.
מאז 2021, Deadbolt טרף עסקים קטנים ולפעמים אנשים פרטיים, ודורש כופר קטן יותר שיכול להצטבר במהירות. בשנת 2022, Deadbolt אסף בהצלחה יותר מ-2.3 מיליון דולר מכ-5,000 קורבנות. תשלום הכופר הממוצע היה 476 דולר - נמוך בהרבה מהממוצע בכל הונאות תוכנות הכופר, שעומד על למעלה מ-70,000 דולר.
המפתחים של Deadbolt תכננו דרך ייחודית לספק מפתחות פענוח לקורבנות. זה איפשר לכוון לרבים כל כך - וכפי שגילתה המשטרה ההולנדית, בסופו של דבר תהיה הנפילה של הקבוצה.
כפי שדווח על ידי Chainalysis, Deadbolt מנצל ליקוי אבטחה בהתקני אחסון מותקפים ברשת מתוצרת QNAP. לאחר שהמכשיר של הקורבן נגוע, הודעה פשוטה מורה לו לשלוח כמות מסוימת של ביטקוין לכתובת ארנק.
Deadbolt שולח אוטומטית לקורבנות את מפתח הפענוח ברגע שקורבן משלם על ידי שליחת כמות קטנה של ביטקוין לכתובת הכופר עם מפתח הפענוח כתוב בשדה OP_RETURN. Chainalysis מאמינה שלמפתחים תכנתו מראש עסקאות לשלוח 0.0000546 BTC (בסביבות $1) לכתובת הארנק שלה בכל פעם שקורבן משלם, כך שזמינים כספים להעברת מפתח הפענוח.
משטרת הולנד טריק מערכת Deadbolt
השיטה המתוחכמת למדי הזו היא שהובילה את המשטרה הלאומית ההולנדית לשבש את Deadbolt. החוקרים הבינו שהם יכולים להערים על המערכת להחזיר מפתחות פענוח למאות קורבנות - מה שיאפשר להם לשחזר נתונים מבלי להשתעל ממש את הכופר.
"בבדיקה של העסקאות ב-Chainalysis, ראינו שבמקרים מסוימים, Deadbolt סיפק את מפתח הפענוח לפני שהתשלום של הקורבן אושר בפועל בבלוקצ'יין", אמר חוקר ל-Chainalysis.
המשמעות היא שהיה בערך חלון של 10 דקות - בזמן שהעסקה הלא מאושרת ישבה והמתינה ב-mempool של ביטקוין - כדי להערים על המערכת.
"קורבן יכול לשלוח את התשלום ל-Deadbolt, לחכות ש-Deadbolt ישלח את מפתח הפענוח, ואז להשתמש ב-replace-by-fee כדי לשנות את העסקה הממתינה, ולתשלום כופר יחזור לקורבן", אמר החוקר.
עם זאת, המשטרה ההולנדית התמודדה עם בעיה אחת - כנראה הייתה לה רק ירייה אחת לפני שדדבולט יבין מה קורה. לכן, יחד עם האינטרפול, חוקרים ערכו חיפוש בדוחות משטרה מכל רחבי הארץ ואחרים כדי לזהות כמה שיותר קורבנות שעדיין לא שילמו את הכופר.
מקור: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/