Полиция обманом выманила у операторов шифровальщика DeadBolt ключи дешифрования
Национальная полиция Нидерландов вместе со специалистами компании инфобеза Responders.NU смогла обманом выманить у операторов шифровальщика DeadBolt 155 ключей для дешифровки данных. Полицейские платили злоумышленникам, получали ключи, а затем отзывали свои платежи.
Атаки шифровальщиков DeadBolt начались в январе 2022 года. Обычно хакеры выбирали сетевые хранилища (NAS) различных производителей, но чаще всего — устройства поставщика сетевых устройств QNAP.
В итоге им удалось взломать более 20 тысяч устройств по всему миру и не менее 1000 в Нидерландах. С каждой жертвы вымогатели требовали выкуп в размере 0,03 биткоина (около $576).
После выплаты DeadBolt направлял биткоин-транзакцию на адрес, используемый для выплаты выкупа. Она содержала ключ для дешифрования данных жертвы, который можно было найти в OP_RETURN.
Когда жертва предоставляла ключ, он преобразовывался в хэш SHA256 и сравнивался с хэшем SHA256 мастер-ключа DeadBolt. Если ключ дешифрования совпадал с одним из хэшей SHA256, то зашифрованные файлы на заражённом устройстве расшифровывались.
В итоге полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала платежи. Она использовала собранные ключи, чтобы разблокировать такие файлы, как ценные фотографии или административные данные, не тратя денег пострадавших.
Эксперт Responders.NU Рики Геверс отметил, что киберпреступники достаточно быстро раскрыли уловку правоохранителей, но те успели собрать 155 ключей. Это поможет примерно 90% жертв, обратившимся в правоохранительные органы.
Теперь операторы DeadBolt требуют двойное подтверждение, прежде чем жертва получит ключ расшифровки.
Responders.NU в сотрудничестве с полицией Нидерландов и Европолом создала платформу, где жертвы DeadBolt, которые не подали заявление в полицию или не могут быть идентифицированы, могут проверить, входит ли их ключ дешифрования в число полученных от вымогателей. Там же они могут найти инструкции по разблокировке своих файлов.
