Голландияның ұлттық полициясы Chainalysis есебіне сәйкес полицияға хабарласқан құрбандардың 90%-ының шифрын шешу кілттерін қалпына келтіріп, Deadbolt ransomware тобын бұзды.
2021 жылдан бастап Deadbolt шағын бизнесті және кейде жеке тұлғаларды жаулап алды, олар тез қосылатын азырақ төлемді талап етеді. 2022 жылы Deadbolt 2.3-ға жуық құрбандардан 5,000 миллион доллардан астам табысты жинады. Төлемнің орташа төлемі $476 құрады, бұл барлық төлемдік бағдарламалық қамтамасыз ету алаяқтықтары бойынша орташа деңгейден әлдеқайда төмен, ол $70,000 XNUMX-нан асады.
Deadbolt әзірлеушілері жәбірленушілерге шифрды шешу кілттерін жеткізудің бірегей әдісін жасады. Бұл көптеген адамдарды нысанаға алуға мүмкіндік берді - және голланд полициясы анықтағандай, сайып келгенде топтың құлдырауы болады.
Chainalysis хабарлағандай, Deadbolt QNAP жасаған желілік шабуылға ұшыраған сақтау құрылғыларындағы қауіпсіздік кемшілігін пайдаланады. Жәбірленушінің құрылғысы вирус жұқтырғаннан кейін, қарапайым хабарлама оларға әмиян мекенжайына биткоиннің белгілі бір мөлшерін жіберуге нұсқау береді.
Жәбірленуші OP_RETURN өрісінде жазылған шифрды шешу кілтімен төлем мекенжайына аз мөлшерде биткоин жіберу арқылы төлегеннен кейін, Deadbolt жәбірленушілерге шифрды шешу кілтін автоматты түрде жібереді. Chainalysis әзірлеушілер жәбірленуші төлеген сайын әмиян мекен-жайына 0.0000546 BTC (шамамен $1) жіберу үшін алдын ала бағдарламаланған транзакциялар жасады деп санайды, осылайша шифрды шешу кілтін жеткізуге қаражат қолжетімді болады.
Голландия полициясы Deadbolt жүйесін алдады
Бұл өте күрделі әдіс Нидерланд ұлттық полициясын Deadbolt-ті бұзуға әкелді. Тергеушілер жүйені алдап, жүздеген жәбірленушілерге шифрды шешу кілттерін қайтаруға болатынын түсінді, бұл оларға төлемді қайтармай-ақ деректерді қалпына келтіруге мүмкіндік береді.
«Chinalysis-тегі транзакцияларды қарап отырып, біз кейбір жағдайларда Deadbolt жәбірленушінің төлемі блокчейнде расталғанға дейін шифрды шешу кілтін бергенін көрдік», - деді тергеуші Chainalysis-ке.
Бұл жүйені алдау үшін шамамен 10 минуттық терезе болғанын білдіреді - расталмаған транзакция Bitcoin мемпулында күтіп тұрған кезде.
«Жәбірленуші төлемді Deadbolt-қа жібере алады, Deadbolt шифрды шешу кілтін жібергенше күте алады, содан кейін күтудегі транзакцияны өзгерту үшін ақыға ауыстыруды пайдалана алады және төлемдік бағдарлама төлемін жәбірленушіге қайтара алады», - деді тергеуші.
Алайда голланд полициясы бір проблемаға тап болды - олар Дедболт не болып жатқанын түсінгенге дейін бір ғана оқ атуы мүмкін. Осылайша, Интерполмен бірге тергеушілер төлемді әлі төлемеген қанша құрбанды анықтау үшін елдің түкпір-түкпірінен және басқалардан келген полиция хабарламаларын тексерді.
Ары қарай оқу: Coinbase Голландияның орталық банкінің 4 миллион долларға жуық айыппұлымен келіспейді
«Біз транзакцияны Deadbolt-қа автоматты түрде жіберу, орнына шифрды шешу кілтімен басқа транзакцияны күту және төлем транзакциясында RBF пайдалану үшін сценарий жаздық. Біз оны Deadbolt-та сынай алмағандықтан, оның жұмыс істейтініне көз жеткізу үшін оны тест-сеттерде іске қосуға тура келді», - деді тергеуші.
Голландия полициясы сценарийді орналастырғаннан кейін, Deadbolt OP_RETURN арқылы шифрды шешу кілттерін жеткізудің автоматтандырылған әдісін ұстап алу және тоқтату үшін көп күттірмеді. Бірақ үйлестірілген күш-жігердің арқасында зардап шеккен полицияның 90% дерлік деректерін қалпына келтіріп, төлемді төлеуден аулақ болды. Биліктің айтуынша, Deadbolt «жүздеген мың доллардан» айырылды.
Нидерланд полициясы жұртшылыққа киберқылмыс туралы хабарлауды еске салуға дайын - ақыр соңында полицияның хабарлауы арқылы құрбандарды анықтауға болады. Полицияға ешқашан есеп бермеген көптеген Deadbolt құрбандары төлем төлемдерін өтей алмады.
Deadbolt-қа келетін болсақ, ол әлі де жұмыс істейді. Дегенмен, банда шифрды шешудің кілттерін жеткізудің әртүрлі әдістерін қабылдауға мәжбүр, оның үстеме шығындарын арттырады.
Толығырақ ақпарат алу үшін бізге жазылыңыз Twitter және Google Жаңалықтар немесе бізге жазылыңыз YouTube арна.
Дереккөз: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/