La Policía Nacional Holandesa ha interrumpido el grupo de ransomware Deadbolt, recuperando las claves de descifrado del 90% de las víctimas que contactaron a la policía, según un informe de Chainalysis.
Desde 2021, Deadbolt se ha aprovechado de las pequeñas empresas y, a veces, de las personas, exigiendo rescates más pequeños que pueden acumularse rápidamente. En 2022, Deadbolt recaudó con éxito más de 2.3 millones de dólares de unas 5,000 víctimas. El pago de rescate promedio fue de $ 476, mucho más bajo que el promedio de todas las estafas de ransomware, que se ubica en más de $ 70,000.
Los desarrolladores de Deadbolt diseñaron una forma única de entregar claves de descifrado a las víctimas. Esto hizo posible apuntar a tantos y, como descubrió la policía holandesa, en última instancia sería la ruina del grupo.
Según lo informado por Chainalysis, Deadbolt explota una falla de seguridad en los dispositivos de almacenamiento atacados por la red fabricados por QNAP. Una vez que el dispositivo de la víctima ha sido infectado, un simple mensaje les indica que envíen una cantidad específica de bitcoins a una dirección de billetera.
Deadbolt envía automáticamente a las víctimas la clave de descifrado una vez que la víctima paga enviando una pequeña cantidad de bitcoin a la dirección de rescate con la clave de descifrado escrita en el campo OP_RETURN. Chainalysis cree que los desarrolladores tenían transacciones preprogramadas para enviar 0.0000546 BTC (alrededor de $ 1) a su propia dirección de billetera cada vez que una víctima paga, de modo que los fondos estén disponibles para comunicar la clave de descifrado.
La policía holandesa engaña al sistema Deadbolt
Este método bastante sofisticado es lo que llevó a la Policía Nacional Holandesa a interrumpir Deadbolt. Los investigadores se dieron cuenta de que podían engañar al sistema para que devolviera las claves de descifrado a cientos de víctimas, lo que les permitía recuperar datos sin desembolsar el rescate.
"Al revisar las transacciones en Chainalysis, vimos que, en algunos casos, Deadbolt proporcionaba la clave de descifrado antes de que el pago de la víctima se confirmara en la cadena de bloques", dijo un investigador a Chainalysis.
Esto significaba que había una ventana de aproximadamente 10 minutos, mientras que la transacción no confirmada esperaba en el mempool de Bitcoin, para engañar al sistema.
“Una víctima podría enviar el pago a Deadbolt, esperar a que Deadbolt envíe la clave de descifrado y luego usar el reemplazo por tarifa para cambiar la transacción pendiente y hacer que el pago del ransomware vuelva a la víctima”, dijo el investigador.
Sin embargo, la policía holandesa se enfrentó a un problema: probablemente solo tuvieron un disparo antes de que Deadbolt se diera cuenta de lo que estaba sucediendo. Entonces, junto con Interpol, los investigadores buscaron informes policiales de todo el país y otros para identificar a tantas víctimas que aún no habían pagado el rescate.
Fuente: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/