La Policía Nacional Holandesa ha interrumpido el grupo de ransomware Deadbolt, recuperando las claves de descifrado del 90% de las víctimas que contactaron a la policía, según un informe de Chainalysis.
Desde 2021, Deadbolt se ha aprovechado de las pequeñas empresas y, a veces, de las personas, exigiendo rescates más pequeños que pueden acumularse rápidamente. En 2022, Deadbolt recaudó con éxito más de 2.3 millones de dólares de unas 5,000 víctimas. El pago de rescate promedio fue de $ 476, mucho más bajo que el promedio de todas las estafas de ransomware, que se ubica en más de $ 70,000.
Los desarrolladores de Deadbolt diseñaron una forma única de entregar claves de descifrado a las víctimas. Esto hizo posible apuntar a tantos y, como descubrió la policía holandesa, en última instancia sería la ruina del grupo.
Según lo informado por Chainalysis, Deadbolt explota una falla de seguridad en los dispositivos de almacenamiento atacados por la red fabricados por QNAP. Una vez que el dispositivo de la víctima ha sido infectado, un simple mensaje les indica que envíen una cantidad específica de bitcoins a una dirección de billetera.
Deadbolt envía automáticamente a las víctimas la clave de descifrado una vez que la víctima paga enviando una pequeña cantidad de bitcoin a la dirección de rescate con la clave de descifrado escrita en el campo OP_RETURN. Chainalysis cree que los desarrolladores tenían transacciones preprogramadas para enviar 0.0000546 BTC (alrededor de $ 1) a su propia dirección de billetera cada vez que una víctima paga, de modo que los fondos estén disponibles para comunicar la clave de descifrado.
La policía holandesa engaña al sistema Deadbolt
Este método bastante sofisticado es lo que llevó a la Policía Nacional Holandesa a interrumpir Deadbolt. Los investigadores se dieron cuenta de que podían engañar al sistema para que devolviera las claves de descifrado a cientos de víctimas, lo que les permitía recuperar datos sin desembolsar el rescate.
"Al revisar las transacciones en Chainalysis, vimos que, en algunos casos, Deadbolt proporcionaba la clave de descifrado antes de que el pago de la víctima se confirmara en la cadena de bloques", dijo un investigador a Chainalysis.
Esto significaba que había una ventana de aproximadamente 10 minutos, mientras que la transacción no confirmada esperaba en el mempool de Bitcoin, para engañar al sistema.
“Una víctima podría enviar el pago a Deadbolt, esperar a que Deadbolt envíe la clave de descifrado y luego usar el reemplazo por tarifa para cambiar la transacción pendiente y hacer que el pago del ransomware vuelva a la víctima”, dijo el investigador.
Sin embargo, la policía holandesa se enfrentó a un problema: probablemente solo tuvieron un disparo antes de que Deadbolt se diera cuenta de lo que estaba sucediendo. Entonces, junto con Interpol, los investigadores buscaron informes policiales de todo el país y otros para identificar a tantas víctimas que aún no habían pagado el rescate.
Más información: Coinbase no está de acuerdo con la multa de casi USD 4 millones del banco central holandés
“Escribimos un script para enviar automáticamente una transacción a Deadbolt, esperar otra transacción con la clave de descifrado a cambio y usar RBF en nuestra transacción de pago. Como no pudimos probarlo en Deadbolt, tuvimos que ejecutarlo en redes de prueba para asegurarnos de que funcionara”, dijo el investigador.
Una vez que la policía holandesa implementó el script, Deadbolt no tardó mucho en darse cuenta y detener su método automatizado de entrega de claves de descifrado a través de OP_RETURN. Pero gracias a los esfuerzos coordinados, casi el 90 % de los policías de las víctimas pudieron recuperar sus datos y evitar pagar el rescate. Según las autoridades, Deadbolt perdió “cientos de miles de dólares”.
La policía holandesa desea recordar al público que denuncie los delitos cibernéticos; después de todo, solo a través de informes policiales se pudo identificar a las víctimas. Muchas víctimas de Deadbolt que nunca presentaron informes policiales no pudieron recuperar los pagos del rescate.
En cuanto a Deadbolt, todavía está en funcionamiento. Sin embargo, la pandilla se ve obligada a adoptar diferentes métodos para entregar claves de descifrado, lo que aumenta sus gastos generales.
Para noticias más informadas, síguenos en Twitter y noticias de Google o suscríbete a nuestro YouTube canal.
Fuente: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/