عطلت الشرطة الوطنية الهولندية مجموعة Deadbolt ransomware ، واستعادت مفاتيح فك التشفير لـ 90٪ من الضحايا الذين اتصلوا بالشرطة ، وفقًا لتقرير صادر عن Chainalysis.
منذ عام 2021 ، استغل ديدبولت الشركات الصغيرة وأحيانًا الأفراد ، مطالبين بفديات صغيرة يمكن أن تضيف بسرعة. في عام 2022 ، نجح Deadbolt في جمع أكثر من 2.3 مليون دولار من حوالي 5,000 ضحية. كان متوسط دفع الفدية 476 دولارًا - وهو أقل بكثير من المتوسط عبر جميع عمليات الاحتيال المتعلقة ببرامج الفدية ، والتي تجاوزت قيمتها 70,000 ألف دولار.
صمم مطورو Deadbolt طريقة فريدة لتقديم مفاتيح فك التشفير للضحايا. جعل هذا من الممكن استهداف الكثير - وكما اكتشفت الشرطة الهولندية ، سيكون سقوط المجموعة في النهاية.
كما ذكرت من قبل Chainalysis ، يستغل Deadbolt ثغرة أمنية في أجهزة التخزين التي تتعرض للهجوم على الشبكة والتي تصنعها QNAP. بمجرد إصابة جهاز الضحية ، تظهر رسالة بسيطة ترشدهم إلى إرسال كمية محددة من البيتكوين إلى عنوان المحفظة.
يرسل Deadbolt تلقائيًا إلى الضحايا مفتاح فك التشفير بمجرد أن تدفع الضحية عن طريق إرسال كمية صغيرة من البيتكوين إلى عنوان الفدية باستخدام مفتاح فك التشفير المكتوب في حقل OP_RETURN. يعتقد Chainalysis أن المطورين أجروا معاملات مبرمجة مسبقًا لإرسال 0.0000546 BTC (حوالي دولار واحد) إلى عنوان محفظته الخاصة في كل مرة يدفع فيها الضحية ، بحيث تتوفر الأموال لإبلاغ مفتاح فك التشفير.
تخدع الشرطة الهولندية نظام Deadbolt
هذه الطريقة المعقدة نوعًا ما هي التي أدت بالشرطة الوطنية الهولندية إلى تعطيل ديدبولت. أدرك المحققون أن بإمكانهم خداع النظام لإعادة مفاتيح فك التشفير لمئات الضحايا - مما يسمح لهم باستعادة البيانات دون دفع الفدية فعليًا.
قال أحد المحققين لـ Chainalysis: "بالنظر إلى المعاملات في Chainalysis ، رأينا أنه في بعض الحالات ، كان Deadbolt يوفر مفتاح فك التشفير قبل تأكيد دفع الضحية فعليًا على blockchain".
هذا يعني أنه كان هناك حوالي 10 دقائق - بينما كانت المعاملة غير المؤكدة تنتظر في mempool Bitcoin - لخداع النظام.
قال المحقق: "يمكن للضحية إرسال الدفعة إلى Deadbolt ، وانتظر Deadbolt لإرسال مفتاح فك التشفير ، ثم استخدام رسوم الاستبدال لتغيير المعاملة المعلقة ، وإعادة دفع الفدية إلى الضحية".
واجهت الشرطة الهولندية مشكلة واحدة - من المحتمل أن يكون لديهم طلقة واحدة فقط قبل أن يدرك ديدبولت ما كان يحدث. لذلك ، وبالتعاون مع الإنتربول ، قام المحققون بتفتيش تقارير الشرطة من جميع أنحاء البلاد وغيرها لتحديد أكبر عدد من الضحايا الذين لم يدفعوا الفدية بعد.
اقرأ أكثر: لا توافق Coinbase على غرامة قدرها 4 ملايين دولار من البنك المركزي الهولندي
"لقد كتبنا برنامجًا نصيًا لإرسال معاملة إلى Deadbolt تلقائيًا ، وانتظر معاملة أخرى مع مفتاح فك التشفير في المقابل ، واستخدم RBF في معاملة الدفع الخاصة بنا. قال المحقق: "بما أننا لم نتمكن من اختباره على ديدبولت ، فقد اضطررنا إلى تشغيله على شبكات الاختبار للتأكد من أنه يعمل".
بمجرد نشر الشرطة الهولندية للبرنامج النصي ، لم يستغرق الأمر وقتًا طويلاً حتى يتمكن Deadbolt من اللحاق بالطريقة الآلية لإيصال مفاتيح فك التشفير وإيقافها من خلال OP_RETURN. ولكن بفضل الجهود المنسقة ، تمكن ما يقرب من 90٪ من ضحايا الشرطة من استعادة بياناتهم وتجنب دفع الفدية. وفقًا للسلطات ، خسر Deadbolt "مئات الآلاف من الدولارات".
تحرص الشرطة الهولندية على تذكير الجمهور بالإبلاغ عن الجرائم الإلكترونية - فبعد كل شيء ، لم يتم التعرف على الضحايا إلا من خلال تقارير الشرطة. لم يتمكن العديد من ضحايا Deadbolt الذين لم يقدموا تقارير الشرطة مطلقًا من استرداد مدفوعات الفدية.
أما بالنسبة لـ Deadbolt ، فهو لا يزال يعمل. ومع ذلك ، تضطر العصابة إلى اعتماد طرق مختلفة لإيصال مفاتيح فك التشفير ، ورفع النفقات العامة.
لمزيد من الأخبار المطلعة ، تابعنا على تويتر و أخبار جوجل أو الاشتراك في موقعنا يوتيوب القناة.
المصدر: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/