عطلت الشرطة الوطنية الهولندية مجموعة Deadbolt ransomware ، واستعادت مفاتيح فك التشفير لـ 90٪ من الضحايا الذين اتصلوا بالشرطة ، وفقًا لتقرير صادر عن Chainalysis.
منذ عام 2021 ، استغل ديدبولت الشركات الصغيرة وأحيانًا الأفراد ، مطالبين بفديات صغيرة يمكن أن تضيف بسرعة. في عام 2022 ، نجح Deadbolt في جمع أكثر من 2.3 مليون دولار من حوالي 5,000 ضحية. كان متوسط دفع الفدية 476 دولارًا - وهو أقل بكثير من المتوسط عبر جميع عمليات الاحتيال المتعلقة ببرامج الفدية ، والتي تجاوزت قيمتها 70,000 ألف دولار.
صمم مطورو Deadbolt طريقة فريدة لتقديم مفاتيح فك التشفير للضحايا. جعل هذا من الممكن استهداف الكثير - وكما اكتشفت الشرطة الهولندية ، سيكون سقوط المجموعة في النهاية.
كما ذكرت من قبل Chainalysis ، يستغل Deadbolt ثغرة أمنية في أجهزة التخزين التي تتعرض للهجوم على الشبكة والتي تصنعها QNAP. بمجرد إصابة جهاز الضحية ، تظهر رسالة بسيطة ترشدهم إلى إرسال كمية محددة من البيتكوين إلى عنوان المحفظة.
يرسل Deadbolt تلقائيًا إلى الضحايا مفتاح فك التشفير بمجرد أن تدفع الضحية عن طريق إرسال كمية صغيرة من البيتكوين إلى عنوان الفدية باستخدام مفتاح فك التشفير المكتوب في حقل OP_RETURN. يعتقد Chainalysis أن المطورين أجروا معاملات مبرمجة مسبقًا لإرسال 0.0000546 BTC (حوالي دولار واحد) إلى عنوان محفظته الخاصة في كل مرة يدفع فيها الضحية ، بحيث تتوفر الأموال لإبلاغ مفتاح فك التشفير.
تخدع الشرطة الهولندية نظام Deadbolt
هذه الطريقة المعقدة نوعًا ما هي التي أدت بالشرطة الوطنية الهولندية إلى تعطيل ديدبولت. أدرك المحققون أن بإمكانهم خداع النظام لإعادة مفاتيح فك التشفير لمئات الضحايا - مما يسمح لهم باستعادة البيانات دون دفع الفدية فعليًا.
قال أحد المحققين لـ Chainalysis: "بالنظر إلى المعاملات في Chainalysis ، رأينا أنه في بعض الحالات ، كان Deadbolt يوفر مفتاح فك التشفير قبل تأكيد دفع الضحية فعليًا على blockchain".
هذا يعني أنه كان هناك حوالي 10 دقائق - بينما كانت المعاملة غير المؤكدة تنتظر في mempool Bitcoin - لخداع النظام.
قال المحقق: "يمكن للضحية إرسال الدفعة إلى Deadbolt ، وانتظر Deadbolt لإرسال مفتاح فك التشفير ، ثم استخدام رسوم الاستبدال لتغيير المعاملة المعلقة ، وإعادة دفع الفدية إلى الضحية".
واجهت الشرطة الهولندية مشكلة واحدة - من المحتمل أن يكون لديهم طلقة واحدة فقط قبل أن يدرك ديدبولت ما كان يحدث. لذلك ، وبالتعاون مع الإنتربول ، قام المحققون بتفتيش تقارير الشرطة من جميع أنحاء البلاد وغيرها لتحديد أكبر عدد من الضحايا الذين لم يدفعوا الفدية بعد.
المصدر: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/