Chainalysis のレポートによると、オランダ国家警察は、Deadbolt ランサムウェア グループを妨害し、警察に連絡した被害者の 90% の復号化キーを回復しました。
2021 年以来、Deadbolt は中小企業や、時には個人を狙って、すぐに積み上げられる可能性のある少額の身代金を要求してきました。 2022 年、Deadbolt は約 2.3 人の被害者から 5,000 万ドル以上を集めることに成功しました。 身代金の平均支払い額は 476 ドルで、すべてのランサムウェア詐欺の平均である 70,000 ドルをはるかに下回っています。
Deadbolt の開発者は、被害者に復号化キーを配信する独自の方法を設計しました。 これにより、非常に多くの人を標的にすることが可能になり、オランダの警察が発見したように、最終的にはグループの没落につながる.
Chainalysis が報告したように、Deadbolt は QNAP 製のネットワーク攻撃を受けたストレージ デバイスのセキュリティ上の欠陥を悪用します。 被害者のデバイスが感染すると、簡単なメッセージが表示され、特定の金額のビットコインをウォレット アドレスに送信するように指示されます。
Deadbolt は、被害者が OP_RETURN フィールドに書き込まれた復号化キーを使用して身代金アドレスに少量のビットコインを送信することによって支払いを行うと、被害者に復号化キーを自動的に送信します。 Chainalysis は、被害者が支払うたびに 0.0000546 BTC (約 1 ドル) を自分のウォレット アドレスに送信するように開発者がトランザクションを事前にプログラムしていたため、復号化キーを通信するための資金を利用できると考えています。
オランダ警察、デッドボルトシステムをだます
このかなり洗練された方法が、オランダ国家警察が Deadbolt を混乱させる原因となったものです。 捜査官は、システムをだまして何百人もの被害者に復号化キーを返させることができることに気付きました。これにより、実際に身代金を支払うことなくデータを回復できます。
「チェイナリシスの取引を調べたところ、被害者の支払いがブロックチェーン上で実際に確認される前に、デッドボルトが復号化キーを提供していたケースがあった」と捜査官はチェイナリシスに語った。
これは、未確認のトランザクションがビットコインの mempool で待機している間に、システムをだますための約 10 分間のウィンドウがあったことを意味します。
「被害者は Deadbolt に支払いを送信し、Deadbolt が復号化キーを送信するのを待ってから、replace-by-fee を使用して保留中のトランザクションを変更し、ランサムウェアの支払いを被害者に戻すことができます」と調査員は述べています。
しかし、オランダの警察は XNUMX つの問題に直面していました。Deadbolt が何が起こっているのかを理解する前に、おそらく XNUMX 回の発砲しかなかったのです。 そのため、捜査官はインターポールと協力して、国中やその他の警察の報告書を検索し、身代金をまだ支払っていない被害者の数を特定しました。
ソース: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/