Laut einem Bericht von Chainalysis hat die niederländische Nationalpolizei die Ransomware-Gruppe Deadbolt gestört und die Entschlüsselungsschlüssel von 90 % der Opfer wiederhergestellt, die die Polizei kontaktiert haben.
Seit 2021 macht Deadbolt Jagd auf kleine Unternehmen und manchmal auch Einzelpersonen und fordert kleinere Lösegelder, die sich schnell summieren können. Im Jahr 2022 sammelte Deadbolt erfolgreich mehr als 2.3 Millionen US-Dollar von etwa 5,000 Opfern. Die durchschnittliche Lösegeldzahlung betrug 476 US-Dollar – weit weniger als der Durchschnitt aller Ransomware-Betrügereien, der bei über 70,000 US-Dollar liegt.
Die Entwickler von Deadbolt haben eine einzigartige Methode entwickelt, um Entschlüsselungsschlüssel an Opfer zu liefern. Dies machte es möglich, so viele anzugreifen – und wie die niederländische Polizei herausfand, würde dies letztendlich den Untergang der Gruppe bedeuten.
Wie von Chainalysis berichtet, nutzt Deadbolt eine Sicherheitslücke in netzwerkangegriffenen Speichergeräten von QNAP aus. Sobald das Gerät eines Opfers infiziert wurde, weist es eine einfache Nachricht an, eine bestimmte Menge Bitcoin an eine Wallet-Adresse zu senden.
Deadbolt sendet den Opfern automatisch den Entschlüsselungsschlüssel, sobald ein Opfer bezahlt, indem es eine kleine Menge Bitcoin an die Lösegeldadresse sendet, wobei der Entschlüsselungsschlüssel im Feld OP_RETURN geschrieben ist. Chainalysis glaubt, dass die Entwickler Transaktionen vorprogrammiert hatten, um jedes Mal, wenn ein Opfer bezahlt, 0.0000546 BTC (etwa 1 US-Dollar) an die eigene Wallet-Adresse zu senden, damit Mittel zur Verfügung stehen, um den Entschlüsselungsschlüssel zu übermitteln.
Die niederländische Polizei trickst das Deadbolt-System aus
Diese ziemlich ausgeklügelte Methode hat die niederländische Nationalpolizei dazu veranlasst, Deadbolt zu stören. Die Ermittler erkannten, dass sie das System dazu bringen konnten, Entschlüsselungsschlüssel an Hunderte von Opfern zurückzugeben – was es ihnen ermöglichte, Daten wiederherzustellen, ohne tatsächlich das Lösegeld zu husten.
„Als wir die Transaktionen in Chainalysis durchgesehen haben, haben wir festgestellt, dass Deadbolt in einigen Fällen den Entschlüsselungsschlüssel bereitgestellt hat, bevor die Zahlung des Opfers tatsächlich auf der Blockchain bestätigt wurde“, sagte ein Ermittler gegenüber Chainalysis.
Dies bedeutete, dass es ein etwa 10-minütiges Fenster gab – während die unbestätigte Transaktion im Mempool von Bitcoin wartete – um das System auszutricksen.
„Ein Opfer könnte die Zahlung an Deadbolt senden, darauf warten, dass Deadbolt den Entschlüsselungsschlüssel sendet, und dann „Ersetzen durch Gebühr“ verwenden, um die ausstehende Transaktion zu ändern, und die Ransomware-Zahlung an das Opfer zurückerstatten“, sagte der Ermittler.
Die niederländische Polizei stand jedoch vor einem Problem – sie hatte wahrscheinlich nur einen Schuss, bevor Deadbolt merkte, was geschah. Zusammen mit Interpol durchsuchten die Ermittler Polizeiberichte aus dem ganzen Land und andere, um möglichst viele Opfer zu identifizieren, die das Lösegeld noch nicht bezahlt hatten.
Quelle: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/