根據 Chainalysis 的一份報告,荷蘭國家警察已經瓦解了 Deadbolt 勒索軟件組織,恢復了 90% 與警方聯繫的受害者的解密密鑰。
自 2021 年以來,Deadbolt 一直在掠奪小型企業,有時甚至是個人,索要較小的贖金,但很快就會累加起來。 2022 年,Deadbolt 成功從約 2.3 名受害者那裡籌集了超過 5,000 萬美元。 平均贖金支付金額為 476 美元,遠低於所有勒索軟件詐騙的平均金額(超過 70,000 美元)。
Deadbolt 的開發人員設計了一種獨特的方式來向受害者提供解密密鑰。 這使得針對如此多的人成為可能——正如荷蘭警方發現的那樣,這最終將導致該組織的垮台。
據 Chainalysis 報導,Deadbolt 利用了 QNAP 製造的受網絡攻擊的存儲設備中的安全漏洞。 一旦受害者的設備被感染,一條簡單的消息會指示他們將特定數量的比特幣發送到錢包地址。
一旦受害者通過將少量比特幣發送到贖金地址並在 OP_RETURN 字段中寫入解密密鑰來付款,Deadbolt 會自動向受害者發送解密密鑰。 Chainalysis 認為,開發人員對交易進行了預編程,以便在每次受害者付款時向其自己的錢包地址發送 0.0000546 BTC(約合 1 美元),以便有資金可用於傳遞解密密鑰。
荷蘭警方欺騙 Deadbolt 系統
這種相當複雜的方法導致荷蘭國家警察破壞 Deadbolt。 調查人員意識到他們可以誘騙系統將解密密鑰返回給數百名受害者——讓他們無需實際支付贖金即可恢復數據。
“通過查看 Chainalysis 中的交易,我們發現在某些情況下,Deadbolt 在受害者的付款在區塊鏈上得到實際確認之前就提供了解密密鑰,”一名調查人員告訴 Chainalysis。
這意味著大約有 10 分鐘的窗口——當未確認的交易在比特幣的內存池中等待時——來欺騙系統。
“受害者可以將付款發送給 Deadbolt,等待 Deadbolt 發送解密密鑰,然後使用費用替換來更改待處理的交易,並將勒索軟件付款退還給受害者,”調查人員說。
然而,荷蘭警方面臨一個問題——在 Deadbolt 意識到發生了什麼之前,他們可能只開了一槍。 因此,調查人員與國際刑警組織一起,搜索了來自全國各地和其他地方的警方報告,以找出盡可能多的尚未支付贖金的受害者。
閱讀更多: Coinbase 不同意荷蘭中央銀行近 4 萬美元的罰款
“我們編寫了一個腳本來自動向 Deadbolt 發送一筆交易,等待另一筆交易返回解密密鑰,然後在我們的支付交易中使用 RBF。 由於我們無法在 Deadbolt 上對其進行測試,因此我們不得不在測試網上運行它以確保它能夠正常工作,”調查人員說。
一旦荷蘭警方部署了腳本,Deadbolt 很快就發現並停止了其通過 OP_RETURN 提供解密密鑰的自動化方法。 但由於協調努力,近 90% 的受害者警察能夠恢復他們的數據並避免支付贖金。 據當局稱,Deadbolt 損失了“數十萬美元”。
荷蘭警方熱衷於提醒公眾舉報網絡犯罪——畢竟,只有通過警方報告才能確定受害者身份。 許多從未向警方報案的 Deadbolt 受害者無法收回贖金。
至於 Deadbolt,它仍在運行。 然而,該團伙被迫採用不同的方法來提供解密密鑰,從而增加了開銷。
來源:https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/