根據 Chainalysis 的一份報告,荷蘭國家警察已經瓦解了 Deadbolt 勒索軟件組織,恢復了 90% 與警方聯繫的受害者的解密密鑰。
自 2021 年以來,Deadbolt 一直在掠奪小型企業,有時甚至是個人,索要較小的贖金,但很快就會累加起來。 2022 年,Deadbolt 成功從約 2.3 名受害者那裡籌集了超過 5,000 萬美元。 平均贖金支付金額為 476 美元,遠低於所有勒索軟件詐騙的平均金額(超過 70,000 美元)。
Deadbolt 的開發人員設計了一種獨特的方式來向受害者提供解密密鑰。 這使得針對如此多的人成為可能——正如荷蘭警方發現的那樣,這最終將導致該組織的垮台。
據 Chainalysis 報導,Deadbolt 利用了 QNAP 製造的受網絡攻擊的存儲設備中的安全漏洞。 一旦受害者的設備被感染,一條簡單的消息會指示他們將特定數量的比特幣發送到錢包地址。
一旦受害者通過將少量比特幣發送到贖金地址並在 OP_RETURN 字段中寫入解密密鑰來付款,Deadbolt 會自動向受害者發送解密密鑰。 Chainalysis 認為,開發人員對交易進行了預編程,以便在每次受害者付款時向其自己的錢包地址發送 0.0000546 BTC(約合 1 美元),以便有資金可用於傳遞解密密鑰。
荷蘭警方欺騙 Deadbolt 系統
這種相當複雜的方法導致荷蘭國家警察破壞 Deadbolt。 調查人員意識到他們可以誘騙系統將解密密鑰返回給數百名受害者——讓他們無需實際支付贖金即可恢復數據。
“通過查看 Chainalysis 中的交易,我們發現在某些情況下,Deadbolt 在受害者的付款在區塊鏈上得到實際確認之前就提供了解密密鑰,”一名調查人員告訴 Chainalysis。
這意味著大約有 10 分鐘的窗口——當未確認的交易在比特幣的內存池中等待時——來欺騙系統。
“受害者可以將付款發送給 Deadbolt,等待 Deadbolt 發送解密密鑰,然後使用費用替換來更改待處理的交易,並將勒索軟件付款退還給受害者,”調查人員說。
然而,荷蘭警方面臨一個問題——在 Deadbolt 意識到發生了什麼之前,他們可能只開了一槍。 因此,調查人員與國際刑警組織一起,搜索了來自全國各地和其他地方的警方報告,以找出盡可能多的尚未支付贖金的受害者。
來源:https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/