A Polícia Nacional Holandesa interrompeu o grupo de ransomware Deadbolt, recuperando as chaves de descriptografia de 90% das vítimas que contataram a polícia, de acordo com um relatório da Chainalysis.
Desde 2021, Deadbolt ataca pequenas empresas e, às vezes, indivíduos, exigindo resgates menores que podem aumentar rapidamente. Em 2022, Deadbolt arrecadou com sucesso mais de $ 2.3 milhões de cerca de 5,000 vítimas. O pagamento médio do resgate foi de US$ 476 — muito abaixo da média de todos os golpes de ransomware, que fica em mais de US$ 70,000.
Os desenvolvedores do Deadbolt criaram uma maneira única de fornecer chaves de descriptografia às vítimas. Isso tornou possível atingir tantos - e como a polícia holandesa descobriu, acabaria por ser a ruína do grupo.
Conforme relatado pela Chainalysis, o Deadbolt explora uma falha de segurança em dispositivos de armazenamento atacados pela rede fabricados pela QNAP. Depois que o dispositivo da vítima é infectado, uma mensagem simples a instrui a enviar uma quantia específica de bitcoin para um endereço de carteira.
Deadbolt envia automaticamente às vítimas a chave de descriptografia assim que a vítima paga, enviando uma pequena quantidade de bitcoin para o endereço de resgate com a chave de descriptografia escrita no campo OP_RETURN. A Chainalysis acredita que os desenvolvedores tinham transações pré-programadas para enviar 0.0000546 BTC (cerca de US$ 1) para seu próprio endereço de carteira cada vez que uma vítima pagasse, para que os fundos estivessem disponíveis para comunicar a chave de descriptografia.
Polícia holandesa engana sistema Deadbolt
Esse método bastante sofisticado foi o que levou a Polícia Nacional Holandesa a interromper o Deadbolt. Os investigadores perceberam que poderiam enganar o sistema para devolver as chaves de descriptografia a centenas de vítimas, permitindo que recuperassem dados sem pagar o resgate.
“Observando as transações no Chainalysis, vimos que, em alguns casos, Deadbolt estava fornecendo a chave de descriptografia antes que o pagamento da vítima fosse realmente confirmado no blockchain”, disse um investigador ao Chainalysis.
Isso significava que havia uma janela de cerca de 10 minutos - enquanto a transação não confirmada esperava no mempool do Bitcoin - para enganar o sistema.
“A vítima pode enviar o pagamento para o Deadbolt, esperar que o Deadbolt envie a chave de descriptografia e, em seguida, usar a substituição por taxa para alterar a transação pendente e fazer com que o pagamento do ransomware seja devolvido à vítima”, disse o investigador.
A polícia holandesa enfrentou um problema, no entanto - eles provavelmente só tiveram um tiro antes que Deadbolt percebesse o que estava acontecendo. Assim, juntamente com a Interpol, os investigadores vasculharam relatórios policiais de todo o país e outros para identificar o máximo de vítimas que ainda não haviam pago o resgate.
Fonte: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/