Chainalysis'in bir raporuna göre Hollanda Ulusal Polisi, Deadbolt fidye yazılımı grubunu bozarak polisle iletişime geçen kurbanların %90'ının şifre çözme anahtarlarını kurtardı.
Deadbolt, 2021'den beri küçük işletmeleri ve bazen de bireyleri avlıyor ve hızla toplanabilecek daha küçük fidyeler talep ediyor. 2022'de Deadbolt, yaklaşık 2.3 kurbandan 5,000 milyon dolardan fazlasını başarıyla topladı. Ortalama fidye ödemesi 476 dolardı – tüm fidye yazılımı dolandırıcılıklarının ortalaması olan 70,000 doların çok altında.
Deadbolt'un geliştiricileri, şifre çözme anahtarlarını kurbanlara ulaştırmak için benzersiz bir yol tasarladı. Bu, pek çok kişinin hedef alınmasını mümkün kıldı ve Hollanda polisinin keşfettiği gibi, bu, grubun çöküşü olacaktı.
Chainalysis tarafından bildirildiği üzere Deadbolt, QNAP tarafından yapılan ağ saldırısına uğramış depolama cihazlarındaki bir güvenlik açığından yararlanıyor. Bir kurbanın cihazına virüs bulaştığında, basit bir mesaj, kurbandan bir cüzdan adresine belirli miktarda Bitcoin göndermesini ister.
Deadbolt, kurban OP_RETURN alanına yazılan şifre çözme anahtarı ile fidye adresine az miktarda bitcoin göndererek ödeme yaptığında kurbanlara şifre çözme anahtarını otomatik olarak gönderir. Chainalysis, geliştiricilerin, bir kurban her ödeme yaptığında kendi cüzdan adresine 0.0000546 BTC (yaklaşık 1 $) göndermek için önceden programlanmış işlemlere sahip olduğuna inanıyor, böylece şifre çözme anahtarını iletmek için fonlar mevcut.
Hollanda polisi Deadbolt sistemini kandırdı
Bu oldukça sofistike yöntem, Hollanda Ulusal Polisinin Deadbolt'u bozmasına neden olan şeydi. Müfettişler, sistemi kandırarak yüzlerce kurbana şifre çözme anahtarlarını iade edebileceklerini fark ettiler ve fidye ödemeden verileri kurtarmalarına izin verdiler.
Bir müfettiş, Chainalysis'e "Chainalysis'teki işlemleri incelediğimizde, bazı durumlarda Deadbolt'un kurbanın ödemesi gerçekten blok zincirinde onaylanmadan önce şifre çözme anahtarını sağladığını gördük" dedi.
Bu, sistemi kandırmak için - onaylanmamış işlem Bitcoin'in mempool'unda beklerken - yaklaşık 10 dakikalık bir pencere olduğu anlamına geliyordu.
Araştırmacı, "Bir kurban ödemeyi Deadbolt'a gönderebilir, Deadbolt'un şifre çözme anahtarını göndermesini bekleyebilir ve ardından beklemedeki işlemi değiştirmek için değiştirme ücretini kullanabilir ve fidye yazılımı ödemesinin kurbana geri dönmesini sağlayabilir" dedi.
Bununla birlikte, Hollanda polisi bir sorunla karşı karşıya kaldı - Deadbolt'un ne olduğunu anlamadan önce muhtemelen yalnızca bir atışları vardı. Bu nedenle, Interpol ile birlikte müfettişler, henüz fidyeyi ödememiş olabildiğince çok kurbanı belirlemek için ülkenin dört bir yanından ve diğerlerinden polis raporlarını incelediler.
Kaynak: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/