根据 Chainalysis 的一份报告,荷兰国家警察已经瓦解了 Deadbolt 勒索软件组织,恢复了 90% 与警方联系的受害者的解密密钥。
自 2021 年以来,Deadbolt 一直在掠夺小型企业,有时甚至是个人,索要较小的赎金,但很快就会累加起来。 2022 年,Deadbolt 成功从约 2.3 名受害者那里筹集了超过 5,000 万美元。 平均赎金支付金额为 476 美元,远低于所有勒索软件诈骗的平均金额(超过 70,000 美元)。
Deadbolt 的开发人员设计了一种独特的方式来向受害者提供解密密钥。 这使得针对如此多的人成为可能——正如荷兰警方发现的那样,这最终将导致该组织的垮台。
据 Chainalysis 报道,Deadbolt 利用了 QNAP 制造的受网络攻击的存储设备中的安全漏洞。 一旦受害者的设备被感染,一条简单的消息会指示他们将特定数量的比特币发送到钱包地址。
一旦受害者通过将少量比特币发送到赎金地址并在 OP_RETURN 字段中写入解密密钥来付款,Deadbolt 会自动向受害者发送解密密钥。 Chainalysis 认为,开发人员对交易进行了预编程,以便在每次受害者付款时向其自己的钱包地址发送 0.0000546 BTC(约合 1 美元),以便资金可用于传递解密密钥。
荷兰警方欺骗 Deadbolt 系统
这种相当复杂的方法导致荷兰国家警察破坏 Deadbolt。 调查人员意识到他们可以诱骗系统将解密密钥返回给数百名受害者——让他们无需实际支付赎金即可恢复数据。
“通过查看 Chainalysis 中的交易,我们发现在某些情况下,Deadbolt 在受害者的付款在区块链上得到实际确认之前就提供了解密密钥,”一名调查人员告诉 Chainalysis。
这意味着大约有 10 分钟的窗口——当未确认的交易在比特币的内存池中等待时——来欺骗系统。
“受害者可以将付款发送给 Deadbolt,等待 Deadbolt 发送解密密钥,然后使用费用替换来更改待处理的交易,并将勒索软件付款退还给受害者,”调查人员说。
然而,荷兰警方面临一个问题——在 Deadbolt 意识到发生了什么之前,他们可能只开了一枪。 因此,调查人员与国际刑警组织一起,搜索了来自全国各地和其他地方的警方报告,以找出尽可能多的尚未支付赎金的受害者。
了解更多: Coinbase 不同意荷兰中央银行近 4 万美元的罚款
“我们编写了一个脚本来自动向 Deadbolt 发送一笔交易,等待另一笔交易返回解密密钥,然后在我们的支付交易中使用 RBF。 由于我们无法在 Deadbolt 上对其进行测试,因此我们不得不在测试网上运行它以确保它能够正常工作,”调查人员说。
一旦荷兰警方部署了脚本,Deadbolt 很快就发现并停止了其通过 OP_RETURN 提供解密密钥的自动化方法。 但由于协调努力,近 90% 的受害者警察能够恢复他们的数据并避免支付赎金。 据当局称,Deadbolt 损失了“数十万美元”。
荷兰警方热衷于提醒公众举报网络犯罪——毕竟,只有通过警方报告才能确定受害者身份。 许多从未向警方报案的 Deadbolt 受害者无法收回赎金。
至于 Deadbolt,它仍在运行。 然而,该团伙被迫采用不同的方法来提供解密密钥,从而增加了开销。
来源:https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/