طبق گزارش Chainalysis، پلیس ملی هلند گروه باج افزار Deadbolt را مختل کرده است و کلیدهای رمزگشایی 90 درصد قربانیانی را که با پلیس تماس گرفته بودند، بازیابی کرده است.
از سال 2021، Deadbolt کسبوکارهای کوچک و گاهی اوقات افراد را شکار کرده است و باجهای کوچکتری را طلب میکند که میتواند به سرعت جمع شود. در سال 2022، Deadbolt با موفقیت بیش از 2.3 میلیون دلار از حدود 5,000 قربانی جمع آوری کرد. متوسط پرداخت باج 476 دلار بود - بسیار کمتر از میانگین کل کلاهبرداری های باج افزار که بیش از 70,000 دلار است.
توسعه دهندگان Deadbolt یک روش منحصر به فرد برای ارائه کلیدهای رمزگشایی به قربانیان طراحی کردند. این امر امکان هدف قرار دادن تعداد زیادی را فراهم کرد - و همانطور که پلیس هلند کشف کرد، در نهایت باعث سقوط این گروه خواهد شد.
همانطور که توسط Chainalysis گزارش شده است، Deadbolt از یک نقص امنیتی در دستگاه های ذخیره سازی مورد حمله شبکه ساخته شده توسط QNAP استفاده می کند. هنگامی که دستگاه قربانی آلوده شد، یک پیام ساده به آنها دستور می دهد که مقدار مشخصی بیت کوین را به آدرس کیف پول ارسال کنند.
Deadbolt بهطور خودکار کلید رمزگشایی را برای قربانیان ارسال میکند، زمانی که قربانی پرداخت کند، با ارسال مقدار کمی بیت کوین به آدرس باج با کلید رمزگشایی که در قسمت OP_RETURN نوشته شده است. Chainalysis معتقد است که توسعه دهندگان تراکنش های از پیش برنامه ریزی شده ای برای ارسال 0.0000546 BTC (حدود 1 دلار) به آدرس کیف پول خود هر بار که قربانی پرداخت می کند داشته اند، به طوری که وجوه برای برقراری ارتباط با کلید رمزگشایی در دسترس باشد.
پلیس هلند سیستم Deadbolt را فریب می دهد
این روش نسبتاً پیچیده همان چیزی است که پلیس ملی هلند را به مختل کردن Deadbolt سوق داد. بازرسان متوجه شدند که میتوانند سیستم را فریب دهند تا کلیدهای رمزگشایی را به صدها قربانی بازگرداند - به آنها اجازه میدهد بدون پرداخت باج، دادهها را بازیابی کنند.
یکی از محققین به Chainalysis گفت: «با بررسی تراکنشهای Chainalysis، دیدیم که در برخی موارد، Deadbolt کلید رمزگشایی را قبل از تأیید پرداخت قربانی در بلاک چین ارائه میکرد.
این به این معنی بود که یک پنجره 10 دقیقه ای وجود داشت - در حالی که تراکنش تایید نشده در انبار بیت کوین منتظر بود - تا سیستم را فریب دهد.
بازپرس گفت: "قربانی می تواند پرداخت را به Deadbolt ارسال کند، منتظر بماند تا Deadbolt کلید رمزگشایی را ارسال کند و سپس از جایگزینی با هزینه برای تغییر تراکنش معلق استفاده کند و پرداخت باج افزار را به قربانی بازگرداند."
با این حال پلیس هلند با یک مشکل روبرو بود - آنها احتمالا فقط یک شلیک داشتند قبل از اینکه Deadbolt متوجه شود چه اتفاقی می افتد. بنابراین، بازرسان همراه با اینترپل، گزارشهای پلیس از سراسر کشور و سایرین را جستجو کردند تا قربانیانی را که هنوز باج را پرداخت نکردهاند شناسایی کنند.
ادامه مطلب: Coinbase با جریمه تقریباً 4 میلیون دلاری بانک مرکزی هلند مخالف است
ما یک اسکریپت نوشتیم تا به طور خودکار یک تراکنش به Deadbolt ارسال شود، منتظر تراکنش دیگری با کلید رمزگشایی در ازای آن باشیم و از RBF در تراکنش پرداخت خود استفاده کنیم. از آنجایی که نمیتوانستیم آن را روی Deadbolt آزمایش کنیم، مجبور شدیم آن را روی شبکههای آزمایشی اجرا کنیم تا مطمئن شویم که کار میکند.»
هنگامی که پلیس هلند اسکریپت را به کار گرفت، طولی نکشید که Deadbolt روش خودکار خود را برای ارائه کلیدهای رمزگشایی از طریق OP_RETURN متوقف کرد. اما به لطف تلاش های هماهنگ، تقریبا 90 درصد از پلیس قربانیان توانستند اطلاعات خود را بازیابی کنند و از پرداخت باج اجتناب کنند. به گفته مقامات، Deadbolt "صدها هزار دلار" از دست داد.
پلیس هلند مشتاق است که به مردم یادآوری کند که جرایم سایبری را گزارش کنند - در نهایت، تنها از طریق گزارش های پلیس بود که می شد قربانیان را شناسایی کرد. بسیاری از قربانیان Deadbolt که هرگز گزارش های پلیس را ارائه نکردند، قادر به بازپرداخت باج نبودند.
در مورد Deadbolt، هنوز در حال کار است. با این حال، باند مجبور به اتخاذ روشهای مختلف برای تحویل کلیدهای رمزگشایی میشود و هزینههای سربار خود را افزایش میدهد.
برای اطلاع از اخبار بیشتر، ما را دنبال کنید توییتر و اخبار گوگل یا مشترک ما شوید یوتیوب کانال.
منبع: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/