Chainalysis'in bir raporuna göre Hollanda Ulusal Polisi, Deadbolt fidye yazılımı grubunu bozarak polisle iletişime geçen kurbanların %90'ının şifre çözme anahtarlarını kurtardı.
Deadbolt, 2021'den beri küçük işletmeleri ve bazen de bireyleri avlıyor ve hızla toplanabilecek daha küçük fidyeler talep ediyor. 2022'de Deadbolt, yaklaşık 2.3 kurbandan 5,000 milyon dolardan fazlasını başarıyla topladı. Ortalama fidye ödemesi 476 dolardı – tüm fidye yazılımı dolandırıcılıklarının ortalaması olan 70,000 doların çok altında.
Deadbolt'un geliştiricileri, şifre çözme anahtarlarını kurbanlara ulaştırmak için benzersiz bir yol tasarladı. Bu, pek çok kişinin hedef alınmasını mümkün kıldı ve Hollanda polisinin keşfettiği gibi, bu, grubun çöküşü olacaktı.
Chainalysis tarafından bildirildiği üzere Deadbolt, QNAP tarafından yapılan ağ saldırısına uğramış depolama cihazlarındaki bir güvenlik açığından yararlanıyor. Bir kurbanın cihazına virüs bulaştığında, basit bir mesaj, kurbandan bir cüzdan adresine belirli miktarda Bitcoin göndermesini ister.
Deadbolt, kurban OP_RETURN alanına yazılan şifre çözme anahtarı ile fidye adresine az miktarda bitcoin göndererek ödeme yaptığında kurbanlara şifre çözme anahtarını otomatik olarak gönderir. Chainalysis, geliştiricilerin, bir kurban her ödeme yaptığında kendi cüzdan adresine 0.0000546 BTC (yaklaşık 1 $) göndermek için önceden programlanmış işlemlere sahip olduğuna inanıyor, böylece şifre çözme anahtarını iletmek için fonlar mevcut.
Hollanda polisi Deadbolt sistemini kandırdı
Bu oldukça sofistike yöntem, Hollanda Ulusal Polisinin Deadbolt'u bozmasına neden olan şeydi. Müfettişler, sistemi kandırarak yüzlerce kurbana şifre çözme anahtarlarını iade edebileceklerini fark ettiler ve fidye ödemeden verileri kurtarmalarına izin verdiler.
Bir müfettiş, Chainalysis'e "Chainalysis'teki işlemleri incelediğimizde, bazı durumlarda Deadbolt'un kurbanın ödemesi gerçekten blok zincirinde onaylanmadan önce şifre çözme anahtarını sağladığını gördük" dedi.
Bu, sistemi kandırmak için - onaylanmamış işlem Bitcoin'in mempool'unda beklerken - yaklaşık 10 dakikalık bir pencere olduğu anlamına geliyordu.
Araştırmacı, "Bir kurban ödemeyi Deadbolt'a gönderebilir, Deadbolt'un şifre çözme anahtarını göndermesini bekleyebilir ve ardından beklemedeki işlemi değiştirmek için değiştirme ücretini kullanabilir ve fidye yazılımı ödemesinin kurbana geri dönmesini sağlayabilir" dedi.
Bununla birlikte, Hollanda polisi bir sorunla karşı karşıya kaldı - Deadbolt'un ne olduğunu anlamadan önce muhtemelen yalnızca bir atışları vardı. Bu nedenle, Interpol ile birlikte müfettişler, henüz fidyeyi ödememiş olabildiğince çok kurbanı belirlemek için ülkenin dört bir yanından ve diğerlerinden polis raporlarını incelediler.
Daha fazla oku: Coinbase, Hollanda merkez bankasından yaklaşık 4 milyon dolarlık para cezasına katılmıyor
“Deadbolt'a otomatik olarak bir işlem göndermek, karşılığında şifre çözme anahtarıyla başka bir işlem beklemek ve ödeme işlemimizde RBF kullanmak için bir komut dosyası yazdık. Deadbolt'ta test edemediğimiz için, çalıştığından emin olmak için test ağlarında çalıştırmamız gerekti," dedi müfettiş.
Hollanda polisi komut dosyasını dağıttıktan sonra, Deadbolt'un OP_RETURN aracılığıyla otomatik şifre çözme anahtarları teslim etme yöntemini anlaması ve durdurması uzun sürmedi. Ancak koordineli çabalar sayesinde, kurbanların neredeyse %90'ı polis verilerini kurtarabildi ve fidye ödemekten kurtuldu. Yetkililere göre Deadbolt "yüzbinlerce dolar" kaybetti.
Hollanda polisi, halka siber suçları bildirmelerini hatırlatma konusunda isteklidir - sonuçta, kurbanların kimliği ancak polis raporları aracılığıyla tespit edilebildi. Hiç polis raporu sunmayan birçok Deadbolt kurbanı fidye ödemelerini telafi edemedi.
Deadbolt'a gelince, hala çalışıyor. Ancak çete, ek yükünü artırarak şifre çözme anahtarlarını teslim etmek için farklı yöntemler benimsemek zorunda kalır.
Daha fazla bilgi için bizi takip edin Twitter ve Google Haberler veya abone olun YouTube kanalı.
Kaynak: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/