Получив ключи, полицейские просто отозвали платежи, которые злоумышленники требовали в качестве выкупа.
Национальная полиция Нидерландов в сотрудничестве со специалистами ИБ-компании Responders.NU обманом выманила у операторов шифровальщика DeadBolt 155 ключей для дешифровки данных. Для этого полицейские платили злоумышленникам, получали ключи, а затем отзывали платежи.
Атаки с использованием DeadBolt начались в январе 2022 года. В качестве целей для кибератак операторы шифровальщика выбирают NAS различных производителей, но чаще всего под их удар попадают устройства от QNAP.
По данным голландской полиции, злоумышленники успели взломать более 20 000 устройств по всему миру и не менее 1000 в Нидерландах. С каждой жертвы вымогатели требуют по 0,03 биткоина (около $576 по текущему курсу).
Эксперты рассказали, что после выплаты выкупа DeadBolt направляет биткоин-транзакцию на адрес, используемый для выплаты выкупа. Эта транзакция содержит ключ для дешифрования данных жертвы, который можно найти в OP_RETURN.
Когда жертва предоставляет ключ, он преобразуется в хэш SHA256 и сравнивается с хэшем SHA256 мастер-ключа DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на зараженном устройстве расшифровываются.
"Полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала платежи. Собранные ключи позволяют разблокировать такие файлы, как ценные фотографии или административные данные, не тратя денег пострадавших", – говорится в пресс-релизе полицейских.
По словам Рики Геверса, эксперта из Responders.NU, киберпреступники быстро раскрыли уловку правоохранителей, которые успели собрать 155 ключей. Эти ключи помогут 90% жертв, обратившихся в органы.
Раз вымогатели раскрыли уловку, больше их так обмануть не удастся. Операторы DeadBolt уже поменяли принцип и требуют двойное подтверждение, прежде чем жертва получит ключ расшифровки.
01-21-2025, 12:52 AM
Hybrid Mode
