La police nationale néerlandaise a perturbé le groupe de rançongiciels Deadbolt, récupérant les clés de déchiffrement de 90 % des victimes qui ont contacté la police, selon un rapport de Chainalysis.
Depuis 2021, Deadbolt s'attaque aux petites entreprises et parfois aux particuliers, exigeant des rançons plus petites qui peuvent rapidement s'additionner. En 2022, Deadbolt a réussi à collecter plus de 2.3 millions de dollars auprès d'environ 5,000 476 victimes. Le paiement moyen de la rançon était de 70,000 $, bien inférieur à la moyenne de toutes les escroqueries par ransomware, qui se situe à plus de XNUMX XNUMX $.
Les développeurs de Deadbolt ont conçu un moyen unique de fournir des clés de déchiffrement aux victimes. Cela a permis d'en cibler autant - et comme la police néerlandaise l'a découvert, ce serait finalement la chute du groupe.
Tel que rapporté par Chainalysis, Deadbolt exploite une faille de sécurité dans les périphériques de stockage attaqués par le réseau fabriqués par QNAP. Une fois que l'appareil d'une victime a été infecté, un simple message lui demande d'envoyer une quantité spécifique de bitcoins à une adresse de portefeuille.
Deadbolt envoie automatiquement aux victimes la clé de déchiffrement une fois qu'une victime a payé en envoyant une petite quantité de bitcoins à l'adresse de la rançon avec la clé de déchiffrement écrite dans le champ OP_RETURN. Chainalysis pense que les développeurs avaient des transactions préprogrammées pour envoyer 0.0000546 BTC (environ 1 $) à sa propre adresse de portefeuille chaque fois qu'une victime paie, afin que les fonds soient disponibles pour communiquer la clé de déchiffrement.
La police néerlandaise trompe le système Deadbolt
Cette méthode plutôt sophistiquée est ce qui a conduit la police nationale néerlandaise à perturber Deadbolt. Les enquêteurs ont réalisé qu'ils pouvaient tromper le système en retournant les clés de déchiffrement à des centaines de victimes, leur permettant de récupérer des données sans cracher la rançon.
"En examinant les transactions dans Chainalysis, nous avons vu que dans certains cas, Deadbolt fournissait la clé de déchiffrement avant que le paiement de la victime ne soit effectivement confirmé sur la blockchain", a déclaré un enquêteur à Chainalysis.
Cela signifiait qu'il y avait une fenêtre d'environ 10 minutes - pendant que la transaction non confirmée attendait dans le mempool de Bitcoin - pour tromper le système.
"Une victime pourrait envoyer le paiement à Deadbolt, attendre que Deadbolt envoie la clé de déchiffrement, puis utiliser le remplacement par des frais pour modifier la transaction en attente, et faire en sorte que le paiement du ransomware revienne à la victime", a déclaré l'enquêteur.
La police néerlandaise a cependant été confrontée à un problème: elle n'a probablement tiré qu'un seul coup de feu avant que Deadbolt ne réalise ce qui se passait. Ainsi, en collaboration avec Interpol, les enquêteurs ont fouillé les rapports de police de tout le pays et d'autres pour identifier autant de victimes qui n'avaient pas encore payé la rançon.
Source : https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/