De Nederlandse Nationale Politie heeft de Deadbolt-ransomwaregroep verstoord en de decoderingssleutels hersteld van 90% van de slachtoffers die contact hebben opgenomen met de politie, volgens een rapport van Chainalysis.
Sinds 2021 jaagt Deadbolt op kleine bedrijven en soms op individuen, waarbij het kleinere losgeld eist dat snel kan oplopen. In 2022 verzamelde Deadbolt met succes meer dan $ 2.3 miljoen van ongeveer 5,000 slachtoffers. Het gemiddelde losgeldbedrag was $ 476 - veel lager dan het gemiddelde van alle ransomware-zwendel, dat meer dan $ 70,000 bedraagt.
De ontwikkelaars van Deadbolt hebben een unieke manier ontworpen om decoderingssleutels aan slachtoffers te bezorgen. Dit maakte het mogelijk om zovelen aan te vallen - en zoals de Nederlandse politie ontdekte, zou dit uiteindelijk de ondergang van de groep zijn.
Zoals gemeld door Chainalysis, maakt Deadbolt misbruik van een beveiligingslek in door het netwerk aangevallen opslagapparaten van QNAP. Zodra het apparaat van een slachtoffer is geïnfecteerd, instrueert een eenvoudig bericht hen om een specifieke hoeveelheid bitcoin naar een portemonnee-adres te sturen.
Deadbolt stuurt slachtoffers automatisch de decoderingssleutel zodra een slachtoffer betaalt door een kleine hoeveelheid bitcoin naar het losgeldadres te sturen met de decoderingssleutel geschreven in het veld OP_RETURN. Chainalysis gelooft dat ontwikkelaars voorgeprogrammeerde transacties hadden om 0.0000546 BTC (ongeveer $1) naar hun eigen portemonnee te sturen telkens wanneer een slachtoffer betaalt, zodat er geld beschikbaar is om de decoderingssleutel door te geven.
Nederlandse politie truc Deadbolt-systeem
Deze nogal geavanceerde methode heeft de Nederlandse politie ertoe gebracht Deadbolt te verstoren. Onderzoekers realiseerden zich dat ze het systeem konden misleiden om de decoderingssleutels terug te sturen naar honderden slachtoffers, waardoor ze gegevens konden herstellen zonder het losgeld op te hoesten.
"Toen we de transacties in Chainalysis doorzochten, zagen we dat Deadbolt in sommige gevallen de decoderingssleutel verstrekte voordat de betaling van het slachtoffer daadwerkelijk op de blockchain werd bevestigd", vertelde een onderzoeker aan Chainalysis.
Dit betekende dat er ongeveer 10 minuten was - terwijl de onbevestigde transactie in de mempool van Bitcoin wachtte - om het systeem te misleiden.
"Een slachtoffer kan de betaling naar Deadbolt sturen, wachten tot Deadbolt de decoderingssleutel verzendt en vervolgens vervangen door vergoeding gebruiken om de openstaande transactie te wijzigen en de ransomware-betaling terug te laten gaan naar het slachtoffer", aldus de onderzoeker.
De Nederlandse politie had echter één probleem: ze hadden waarschijnlijk maar één schot voordat Deadbolt zou beseffen wat er aan de hand was. Daarom doorzochten rechercheurs samen met Interpol politierapporten uit het hele land en andere om zoveel mogelijk slachtoffers te identificeren die het losgeld nog niet hadden betaald.
Bron: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/