Голландияның ұлттық полициясы Chainalysis есебіне сәйкес полицияға хабарласқан құрбандардың 90%-ының шифрын шешу кілттерін қалпына келтіріп, Deadbolt ransomware тобын бұзды.
2021 жылдан бастап Deadbolt шағын бизнесті және кейде жеке тұлғаларды жаулап алды, олар тез қосылатын азырақ төлемді талап етеді. 2022 жылы Deadbolt 2.3-ға жуық құрбандардан 5,000 миллион доллардан астам табысты жинады. Төлемнің орташа төлемі $476 құрады, бұл барлық төлемдік бағдарламалық қамтамасыз ету алаяқтықтары бойынша орташа деңгейден әлдеқайда төмен, ол $70,000 XNUMX-нан асады.
Deadbolt әзірлеушілері жәбірленушілерге шифрды шешу кілттерін жеткізудің бірегей әдісін жасады. Бұл көптеген адамдарды нысанаға алуға мүмкіндік берді - және голланд полициясы анықтағандай, сайып келгенде топтың құлдырауы болады.
Chainalysis хабарлағандай, Deadbolt QNAP жасаған желілік шабуылға ұшыраған сақтау құрылғыларындағы қауіпсіздік кемшілігін пайдаланады. Жәбірленушінің құрылғысы вирус жұқтырғаннан кейін, қарапайым хабарлама оларға әмиян мекенжайына биткоиннің белгілі бір мөлшерін жіберуге нұсқау береді.
Жәбірленуші OP_RETURN өрісінде жазылған шифрды шешу кілтімен төлем мекенжайына аз мөлшерде биткоин жіберу арқылы төлегеннен кейін, Deadbolt жәбірленушілерге шифрды шешу кілтін автоматты түрде жібереді. Chainalysis әзірлеушілер жәбірленуші төлеген сайын әмиян мекен-жайына 0.0000546 BTC (шамамен $1) жіберу үшін алдын ала бағдарламаланған транзакциялар жасады деп санайды, осылайша шифрды шешу кілтін жеткізуге қаражат қолжетімді болады.
Голландия полициясы Deadbolt жүйесін алдады
Бұл өте күрделі әдіс Нидерланд ұлттық полициясын Deadbolt-ті бұзуға әкелді. Тергеушілер жүйені алдап, жүздеген жәбірленушілерге шифрды шешу кілттерін қайтаруға болатынын түсінді, бұл оларға төлемді қайтармай-ақ деректерді қалпына келтіруге мүмкіндік береді.
«Chinalysis-тегі транзакцияларды қарап отырып, біз кейбір жағдайларда Deadbolt жәбірленушінің төлемі блокчейнде расталғанға дейін шифрды шешу кілтін бергенін көрдік», - деді тергеуші Chainalysis-ке.
Бұл жүйені алдау үшін шамамен 10 минуттық терезе болғанын білдіреді - расталмаған транзакция Bitcoin мемпулында күтіп тұрған кезде.
«Жәбірленуші төлемді Deadbolt-қа жібере алады, Deadbolt шифрды шешу кілтін жібергенше күте алады, содан кейін күтудегі транзакцияны өзгерту үшін ақыға ауыстыруды пайдалана алады және төлемдік бағдарлама төлемін жәбірленушіге қайтара алады», - деді тергеуші.
Алайда голланд полициясы бір проблемаға тап болды - олар Дедболт не болып жатқанын түсінгенге дейін бір ғана оқ атуы мүмкін. Осылайша, Интерполмен бірге тергеушілер төлемді әлі төлемеген қанша құрбанды анықтау үшін елдің түкпір-түкпірінен және басқалардан келген полиция хабарламаларын тексерді.
Дереккөз: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/