De Nederlandse Nationale Politie heeft de Deadbolt-ransomwaregroep verstoord en de decoderingssleutels hersteld van 90% van de slachtoffers die contact hebben opgenomen met de politie, volgens een rapport van Chainalysis.
Sinds 2021 jaagt Deadbolt op kleine bedrijven en soms op individuen, waarbij het kleinere losgeld eist dat snel kan oplopen. In 2022 verzamelde Deadbolt met succes meer dan $ 2.3 miljoen van ongeveer 5,000 slachtoffers. Het gemiddelde losgeldbedrag was $ 476 - veel lager dan het gemiddelde van alle ransomware-zwendel, dat meer dan $ 70,000 bedraagt.
De ontwikkelaars van Deadbolt hebben een unieke manier ontworpen om decoderingssleutels aan slachtoffers te bezorgen. Dit maakte het mogelijk om zovelen aan te vallen - en zoals de Nederlandse politie ontdekte, zou dit uiteindelijk de ondergang van de groep zijn.
Zoals gemeld door Chainalysis, maakt Deadbolt misbruik van een beveiligingslek in door het netwerk aangevallen opslagapparaten van QNAP. Zodra het apparaat van een slachtoffer is geïnfecteerd, instrueert een eenvoudig bericht hen om een specifieke hoeveelheid bitcoin naar een portemonnee-adres te sturen.
Deadbolt stuurt slachtoffers automatisch de decoderingssleutel zodra een slachtoffer betaalt door een kleine hoeveelheid bitcoin naar het losgeldadres te sturen met de decoderingssleutel geschreven in het veld OP_RETURN. Chainalysis gelooft dat ontwikkelaars voorgeprogrammeerde transacties hadden om 0.0000546 BTC (ongeveer $1) naar hun eigen portemonnee te sturen telkens wanneer een slachtoffer betaalt, zodat er geld beschikbaar is om de decoderingssleutel door te geven.
Nederlandse politie truc Deadbolt-systeem
Deze nogal geavanceerde methode heeft de Nederlandse politie ertoe gebracht Deadbolt te verstoren. Onderzoekers realiseerden zich dat ze het systeem konden misleiden om de decoderingssleutels terug te sturen naar honderden slachtoffers, waardoor ze gegevens konden herstellen zonder het losgeld op te hoesten.
"Toen we de transacties in Chainalysis doorzochten, zagen we dat Deadbolt in sommige gevallen de decoderingssleutel verstrekte voordat de betaling van het slachtoffer daadwerkelijk op de blockchain werd bevestigd", vertelde een onderzoeker aan Chainalysis.
Dit betekende dat er ongeveer 10 minuten was - terwijl de onbevestigde transactie in de mempool van Bitcoin wachtte - om het systeem te misleiden.
"Een slachtoffer kan de betaling naar Deadbolt sturen, wachten tot Deadbolt de decoderingssleutel verzendt en vervolgens vervangen door vergoeding gebruiken om de openstaande transactie te wijzigen en de ransomware-betaling terug te laten gaan naar het slachtoffer", aldus de onderzoeker.
De Nederlandse politie had echter één probleem: ze hadden waarschijnlijk maar één schot voordat Deadbolt zou beseffen wat er aan de hand was. Daarom doorzochten rechercheurs samen met Interpol politierapporten uit het hele land en andere om zoveel mogelijk slachtoffers te identificeren die het losgeld nog niet hadden betaald.
Lees verder: Coinbase is het niet eens met een boete van bijna 4 miljoen dollar van De Nederlandsche Bank
“We hebben een script geschreven om automatisch een transactie naar Deadbolt te sturen, te wachten op een volgende transactie met de decoderingssleutel terug en RBF te gebruiken voor onze betalingstransactie. Omdat we het niet op Deadbolt konden testen, moesten we het op testnetten draaien om er zeker van te zijn dat het werkte”, zei de onderzoeker.
Nadat de Nederlandse politie het script had geïmplementeerd, duurde het niet lang voordat Deadbolt aansloeg en zijn geautomatiseerde methode voor het leveren van decoderingssleutels via OP_RETURN stopte. Maar dankzij gecoördineerde inspanningen slaagde bijna 90% van de slachtoffers van de politie erin hun gegevens te herstellen en te voorkomen dat ze het losgeld moesten betalen. Volgens de autoriteiten verloor Deadbolt "honderdduizenden dollars".
De Nederlandse politie wil het publiek er graag aan herinneren om aangifte te doen van cybercriminaliteit. Slachtoffers konden immers alleen aan de hand van politierapporten worden geïdentificeerd. Veel Deadbolt-slachtoffers die nooit aangifte hebben gedaan bij de politie, konden het losgeld niet terugkrijgen.
Wat Deadbolt betreft, het werkt nog steeds. De bende wordt echter gedwongen om verschillende methoden te gebruiken om decoderingssleutels af te leveren, waardoor de overhead stijgt.
Voor meer geïnformeerd nieuws, volg ons op Twitter en Google Nieuws of abonneer u op onze YouTube kanaal.
Bron: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/