A Polícia Nacional Holandesa interrompeu o grupo de ransomware Deadbolt, recuperando as chaves de descriptografia de 90% das vítimas que contataram a polícia, de acordo com um relatório da Chainalysis.
Desde 2021, Deadbolt ataca pequenas empresas e, às vezes, indivíduos, exigindo resgates menores que podem aumentar rapidamente. Em 2022, Deadbolt arrecadou com sucesso mais de $ 2.3 milhões de cerca de 5,000 vítimas. O pagamento médio do resgate foi de US$ 476 — muito abaixo da média de todos os golpes de ransomware, que fica em mais de US$ 70,000.
Os desenvolvedores do Deadbolt criaram uma maneira única de fornecer chaves de descriptografia às vítimas. Isso tornou possível atingir tantos - e como a polícia holandesa descobriu, acabaria por ser a ruína do grupo.
Conforme relatado pela Chainalysis, o Deadbolt explora uma falha de segurança em dispositivos de armazenamento atacados pela rede fabricados pela QNAP. Depois que o dispositivo da vítima é infectado, uma mensagem simples a instrui a enviar uma quantia específica de bitcoin para um endereço de carteira.
Deadbolt envia automaticamente às vítimas a chave de descriptografia assim que a vítima paga, enviando uma pequena quantidade de bitcoin para o endereço de resgate com a chave de descriptografia escrita no campo OP_RETURN. A Chainalysis acredita que os desenvolvedores tinham transações pré-programadas para enviar 0.0000546 BTC (cerca de US$ 1) para seu próprio endereço de carteira cada vez que uma vítima pagasse, para que os fundos estivessem disponíveis para comunicar a chave de descriptografia.
Polícia holandesa engana sistema Deadbolt
Esse método bastante sofisticado foi o que levou a Polícia Nacional Holandesa a interromper o Deadbolt. Os investigadores perceberam que poderiam enganar o sistema para devolver as chaves de descriptografia a centenas de vítimas, permitindo que recuperassem dados sem pagar o resgate.
“Observando as transações no Chainalysis, vimos que, em alguns casos, Deadbolt estava fornecendo a chave de descriptografia antes que o pagamento da vítima fosse realmente confirmado no blockchain”, disse um investigador ao Chainalysis.
Isso significava que havia uma janela de cerca de 10 minutos - enquanto a transação não confirmada esperava no mempool do Bitcoin - para enganar o sistema.
“A vítima pode enviar o pagamento para o Deadbolt, esperar que o Deadbolt envie a chave de descriptografia e, em seguida, usar a substituição por taxa para alterar a transação pendente e fazer com que o pagamento do ransomware seja devolvido à vítima”, disse o investigador.
A polícia holandesa enfrentou um problema, no entanto - eles provavelmente só tiveram um tiro antes que Deadbolt percebesse o que estava acontecendo. Assim, juntamente com a Interpol, os investigadores vasculharam relatórios policiais de todo o país e outros para identificar o máximo de vítimas que ainda não haviam pago o resgate.
Leia mais: Coinbase discorda de multa de quase US$ 4 milhões do banco central holandês
“Escrevemos um script para enviar automaticamente uma transação para Deadbolt, aguardar outra transação com a chave de descriptografia em retorno e usar RBF em nossa transação de pagamento. Como não pudemos testá-lo no Deadbolt, tivemos que executá-lo em testnets para garantir que funcionasse”, disse o investigador.
Depois que a polícia holandesa implantou o script, não demorou muito para Deadbolt detectar e interromper seu método automatizado de fornecer chaves de descriptografia por meio de OP_RETURN. Mas, graças a esforços coordenados, quase 90% das vítimas policiais conseguiram recuperar seus dados e evitar o pagamento do resgate. Segundo as autoridades, Deadbolt perdeu "centenas de milhares de dólares".
A polícia holandesa faz questão de lembrar o público de denunciar crimes cibernéticos — afinal, era apenas por meio de relatórios policiais que as vítimas podiam ser identificadas. Muitas vítimas do Deadbolt que nunca preencheram relatórios policiais não conseguiram recuperar os pagamentos do resgate.
Quanto ao Deadbolt, ainda está operando. No entanto, a gangue é forçada a adotar diferentes métodos de entrega de chaves de descriptografia, aumentando sua sobrecarga.
Para notícias mais informadas, siga-nos em Twitter e Google News ou assine o nosso YouTube canal.
Fonte: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/