طبق گزارش Chainalysis، پلیس ملی هلند گروه باج افزار Deadbolt را مختل کرده است و کلیدهای رمزگشایی 90 درصد قربانیانی را که با پلیس تماس گرفته بودند، بازیابی کرده است.
از سال 2021، Deadbolt کسبوکارهای کوچک و گاهی اوقات افراد را شکار کرده است و باجهای کوچکتری را طلب میکند که میتواند به سرعت جمع شود. در سال 2022، Deadbolt با موفقیت بیش از 2.3 میلیون دلار از حدود 5,000 قربانی جمع آوری کرد. متوسط پرداخت باج 476 دلار بود - بسیار کمتر از میانگین کل کلاهبرداری های باج افزار که بیش از 70,000 دلار است.
توسعه دهندگان Deadbolt یک روش منحصر به فرد برای ارائه کلیدهای رمزگشایی به قربانیان طراحی کردند. این امر امکان هدف قرار دادن تعداد زیادی را فراهم کرد - و همانطور که پلیس هلند کشف کرد، در نهایت باعث سقوط این گروه خواهد شد.
همانطور که توسط Chainalysis گزارش شده است، Deadbolt از یک نقص امنیتی در دستگاه های ذخیره سازی مورد حمله شبکه ساخته شده توسط QNAP استفاده می کند. هنگامی که دستگاه قربانی آلوده شد، یک پیام ساده به آنها دستور می دهد که مقدار مشخصی بیت کوین را به آدرس کیف پول ارسال کنند.
Deadbolt بهطور خودکار کلید رمزگشایی را برای قربانیان ارسال میکند، زمانی که قربانی پرداخت کند، با ارسال مقدار کمی بیت کوین به آدرس باج با کلید رمزگشایی که در قسمت OP_RETURN نوشته شده است. Chainalysis معتقد است که توسعه دهندگان تراکنش های از پیش برنامه ریزی شده ای برای ارسال 0.0000546 BTC (حدود 1 دلار) به آدرس کیف پول خود هر بار که قربانی پرداخت می کند داشته اند، به طوری که وجوه برای برقراری ارتباط با کلید رمزگشایی در دسترس باشد.
پلیس هلند سیستم Deadbolt را فریب می دهد
این روش نسبتاً پیچیده همان چیزی است که پلیس ملی هلند را به مختل کردن Deadbolt سوق داد. بازرسان متوجه شدند که میتوانند سیستم را فریب دهند تا کلیدهای رمزگشایی را به صدها قربانی بازگرداند - به آنها اجازه میدهد بدون پرداخت باج، دادهها را بازیابی کنند.
یکی از محققین به Chainalysis گفت: «با بررسی تراکنشهای Chainalysis، دیدیم که در برخی موارد، Deadbolt کلید رمزگشایی را قبل از تأیید پرداخت قربانی در بلاک چین ارائه میکرد.
این به این معنی بود که یک پنجره 10 دقیقه ای وجود داشت - در حالی که تراکنش تایید نشده در انبار بیت کوین منتظر بود - تا سیستم را فریب دهد.
بازپرس گفت: "قربانی می تواند پرداخت را به Deadbolt ارسال کند، منتظر بماند تا Deadbolt کلید رمزگشایی را ارسال کند و سپس از جایگزینی با هزینه برای تغییر تراکنش معلق استفاده کند و پرداخت باج افزار را به قربانی بازگرداند."
با این حال پلیس هلند با یک مشکل روبرو بود - آنها احتمالا فقط یک شلیک داشتند قبل از اینکه Deadbolt متوجه شود چه اتفاقی می افتد. بنابراین، بازرسان همراه با اینترپل، گزارشهای پلیس از سراسر کشور و سایرین را جستجو کردند تا قربانیانی را که هنوز باج را پرداخت نکردهاند شناسایی کنند.
منبع: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/