Национальная полиция Нидерландов, совместно с ИБ-специалистами из компании RespondersNU, обманом вынудила операторов шифровальщика DeadBolt им передать 155 ключей для дешифрования данных. Ради этого экспертам пришлось подделать выплаты выкупов.
Напомню, что шифровальщик DeadBolt активен с начала 2022 года и атакует NAS различных производителей. В основном вымогатель «специализируется» на девайсах компании Qnap, но также были обнаружены атаки на NAS ASUSTOR.
По данным голландской полиции, вымогатели уже взломали более 20 000 устройств по всему миру и не менее 1000 в Нидерландах. У владельцев взломанных NAS они требуют 0,03 биткоина (около 575 долларов США) за расшифровку данных.
Эксперты рассказывают, что после выплаты выкупа DeadBolt направляет биткоин-транзакцию на тот же адрес, который используется для выплаты выкупа. В итоге транзакция содержит ключ для дешифрования данных для жертвы, который можно найти в OP_RETURN.
Когда пострадавший предоставляет этот ключ малвари, тот преобразуется в хэш SHA256, сравнивается с хэшем SHA256 ключа дешифрования жертвы, а также с хэшем SHA256 мастер-ключа дешифрования DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на пострадавшем NAS будут расшифрованы.
«Полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала свои платежи. Эти ключи позволяют разблокировать такие файлы, как ценные фотографии или административные файлы, не тратя денег пострадавших», — сообщают правоохранители в своем пресс-релизе.
Издание Bleeping Computer выяснило подробности этой операции у ИБ-эксперта из компании RespondersNU Рики Геверса (Rickey Gevers). Тот подтвердил, что полиция обманом заставила вымогателей создать ключи дешифрования, и отменила свои транзакции до того, как они были включены в блок.
Дело в том, что ключ для дешифрования отправлялись жертвами немедленно, не дожидаясь подтверждения легитимности транзакции. Это позволило правоохранителям и экспертам произвести фальшивые выплаты выкупов с низкой комиссией, когда блокчейн был сильно перегружен. Так как блокчейну требовалось время для подтверждения транзакций, полиция успела совершить транзакции, получить ключи и немедленно отменить выплаты.
«Мы специально совершали транзакции с минимальной комиссией. Так как мы знали, что злоумышленники быстро все поймут, нам пришлось действовать грубо и хватать, что успеем, — рассказывает Геверс. — Злоумышленники поняли, что происходит, в течение нескольких минут, но мы успели получить 155 ключей. 90% жертв сообщали об атаках DeadBolt в полицию, так что большинство из них получило свои ключ дешифрования совершенно бесплатно».
К сожалению, вымогатели поняли, как именно их обманули, поэтому теперь хакеры, стоящие за DeadBold, требуют двойного подтверждения, прежде чем передавать жертвам ключи для расшифровки данных.
RespondersNU, в сотрудничестве с полицией Нидерландов и Европолом, создали специальный сайт, где жертвы DeadBolt, которые не обращались в полицию или не были идентифицированы, могут проверить, нет ли среди ключей, обманом полученных у злоумышленников, ключа для их пострадавшего устройства.