La police nationale néerlandaise a perturbé le groupe de rançongiciels Deadbolt, récupérant les clés de déchiffrement de 90 % des victimes qui ont contacté la police, selon un rapport de Chainalysis.
Depuis 2021, Deadbolt s'attaque aux petites entreprises et parfois aux particuliers, exigeant des rançons plus petites qui peuvent rapidement s'additionner. En 2022, Deadbolt a réussi à collecter plus de 2.3 millions de dollars auprès d'environ 5,000 476 victimes. Le paiement moyen de la rançon était de 70,000 $, bien inférieur à la moyenne de toutes les escroqueries par ransomware, qui se situe à plus de XNUMX XNUMX $.
Les développeurs de Deadbolt ont conçu un moyen unique de fournir des clés de déchiffrement aux victimes. Cela a permis d'en cibler autant - et comme la police néerlandaise l'a découvert, ce serait finalement la chute du groupe.
Tel que rapporté par Chainalysis, Deadbolt exploite une faille de sécurité dans les périphériques de stockage attaqués par le réseau fabriqués par QNAP. Une fois que l'appareil d'une victime a été infecté, un simple message lui demande d'envoyer une quantité spécifique de bitcoins à une adresse de portefeuille.
Deadbolt envoie automatiquement aux victimes la clé de déchiffrement une fois qu'une victime a payé en envoyant une petite quantité de bitcoins à l'adresse de la rançon avec la clé de déchiffrement écrite dans le champ OP_RETURN. Chainalysis pense que les développeurs avaient des transactions préprogrammées pour envoyer 0.0000546 BTC (environ 1 $) à sa propre adresse de portefeuille chaque fois qu'une victime paie, afin que les fonds soient disponibles pour communiquer la clé de déchiffrement.
La police néerlandaise trompe le système Deadbolt
Cette méthode plutôt sophistiquée est ce qui a conduit la police nationale néerlandaise à perturber Deadbolt. Les enquêteurs ont réalisé qu'ils pouvaient tromper le système en retournant les clés de déchiffrement à des centaines de victimes, leur permettant de récupérer des données sans cracher la rançon.
"En examinant les transactions dans Chainalysis, nous avons vu que dans certains cas, Deadbolt fournissait la clé de déchiffrement avant que le paiement de la victime ne soit effectivement confirmé sur la blockchain", a déclaré un enquêteur à Chainalysis.
Cela signifiait qu'il y avait une fenêtre d'environ 10 minutes - pendant que la transaction non confirmée attendait dans le mempool de Bitcoin - pour tromper le système.
"Une victime pourrait envoyer le paiement à Deadbolt, attendre que Deadbolt envoie la clé de déchiffrement, puis utiliser le remplacement par des frais pour modifier la transaction en attente, et faire en sorte que le paiement du ransomware revienne à la victime", a déclaré l'enquêteur.
La police néerlandaise a cependant été confrontée à un problème: elle n'a probablement tiré qu'un seul coup de feu avant que Deadbolt ne réalise ce qui se passait. Ainsi, en collaboration avec Interpol, les enquêteurs ont fouillé les rapports de police de tout le pays et d'autres pour identifier autant de victimes qui n'avaient pas encore payé la rançon.
Lire la suite: Coinbase n'est pas d'accord avec une amende de près de 4 millions de dollars de la banque centrale néerlandaise
«Nous avons écrit un script pour envoyer automatiquement une transaction à Deadbolt, attendre une autre transaction avec la clé de déchiffrement en retour et utiliser RBF sur notre transaction de paiement. Comme nous ne pouvions pas le tester sur Deadbolt, nous avons dû l'exécuter sur des réseaux de test pour nous assurer qu'il fonctionnait », a déclaré l'enquêteur.
Une fois que la police néerlandaise a déployé le script, il n'a pas fallu longtemps à Deadbolt pour comprendre et arrêter sa méthode automatisée de livraison des clés de déchiffrement via OP_RETURN. Mais grâce à des efforts coordonnés, près de 90 % des victimes policières ont pu récupérer leurs données et éviter de payer la rançon. Selon les autorités, Deadbolt a perdu « des centaines de milliers de dollars ».
La police néerlandaise tient à rappeler au public de signaler les cybercrimes – après tout, ce n'est que par le biais de rapports de police que les victimes ont pu être identifiées. De nombreuses victimes de Deadbolt qui n'ont jamais déposé de plainte auprès de la police n'ont pas pu récupérer les paiements de rançon.
Quant à Deadbolt, il fonctionne toujours. Cependant, le gang est obligé d'adopter différentes méthodes de livraison des clés de déchiffrement, ce qui augmente ses frais généraux.
Pour des nouvelles plus informées, suivez-nous sur Twitter ainsi que Google Actualités ou abonnez-vous à notre YouTube canal.
Source : https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/