Полиция хитростью выманила ключи дешифрования у операторов шифровальщика DeadBolt - «Новости»

  • 10:30, 18-окт-2022
  • Новости / Изображения / Заработок / Преимущества стилей / Линии и рамки / Сайтостроение / Добавления стилей
  • Fisher
  • 0

Национальная полиция Нидерландов, совместно с ИБ-специалистами из компании RespondersNU, обманом вынудила операторов шифровальщика DeadBolt им передать 155 ключей для дешифрования данных.  Ради этого экспертам пришлось подделать выплаты выкупов.


Напомню, что шифровальщик DeadBolt активен с начала 2022 года и атакует NAS различных производителей. В основном вымогатель «специализируется» на девайсах компании Qnap, но также были обнаружены атаки на NAS ASUSTOR.


По данным голландской полиции, вымогатели атаковали уже взломали более 20 000 устройств по всему миру и не менее 1000 в Нидерландах. У владельцев взломанных NAS они требуют 0,03 биткоина (около 575 долларов США) за расшифровку данных.


Эксперты рассказывают,  что после выплаты выкупа DeadBolt направляет биткоин-транзакцию на тот же адрес, который используется для выплаты выкупа. В итоге транзакция содержит ключ для дешифрования данных для жертвы, который можно найти в OP_RETURN.



Полиция хитростью выманила ключи дешифрования у операторов шифровальщика DeadBolt - «Новости»


Когда пострадавший предоставляет этот ключ малвари, тот преобразуется в хэш SHA256, сравнивается с хэшем SHA256 ключа дешифрования жертвы, а также с хэшем SHA256 мастер-ключа дешифрования DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на пострадавшем NAS будут расшифрованы.


«Полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала свои платежи. Эти ключи позволяют разблокировать такие файлы, как ценные фотографии или административные файлы, не тратя денег пострадавших», — сообщают правоохранители в своем пресс-релизе.


Издание Bleeping Computer выяснило подробности этой операции у ИБ-эксперта из компании RespondersNU Рики Геверса (Rickey Gevers). Тот подтвердил, что полиция обманом заставила вымогателей создать ключи дешифрования, и отменила свои транзакции до того, как они были включены в блок.


Дело в том, что ключ для дешифрования отправлялись жертвами немедленно, не дожидаясь подтверждения легитимности транзакции. Это позволило правоохранителям и экспертам произвести фальшивые выплаты выкупов с низкой комиссией, когда блокчейн был сильно перегружен. Так как блокчейну требовалось время для подтверждения транзакций, полиция успела совершить транзакции, получить ключи и немедленно отменить выплаты.


«Мы специально совершали транзакции с минимальной комиссией. Так как мы знали, что злоумышленники быстро все поймут, нам пришлось действовать грубо и хватать, что успеем, — рассказывает Геверс. — Злоумышленники поняли, что происходит, в течение нескольких минут, но мы успели получить 155 ключей. 90% жертв сообщали об атаках DeadBolt в полицию, так что большинство из них получило свои ключ дешифрования совершенно бесплатно».


К сожалению, вымогатели поняли, как именно их обманули, поэтому теперь хакеры, стоящие за DeadBold, требуют двойного подтверждения, прежде чем передавать жертвам ключи для расшифровки данных.


RespondersNU, в сотрудничестве с полицией Нидерландов и Европолом, создали специальный сайт, где жертвы DeadBolt, которые не обращались в полицию или не были идентифицированы, могут проверить, нет ли среди ключей, обманом полученных у злоумышленников, ключа для их пострадавшего устройства.


Национальная полиция Нидерландов, совместно с ИБ-специалистами из компании RespondersNU, обманом вынудила операторов шифровальщика DeadBolt им передать 155 ключей для дешифрования данных. Ради этого экспертам пришлось подделать выплаты выкупов. Напомню, что шифровальщик DeadBolt активен с начала 2022 года и атакует NAS различных производителей. В основном вымогатель «специализируется» на девайсах компании Qnap, но также были обнаружены атаки на NAS ASUSTOR. По данным голландской полиции, вымогатели атаковали уже взломали более 20 000 устройств по всему миру и не менее 1000 в Нидерландах. У владельцев взломанных NAS они требуют 0,03 биткоина (около 575 долларов США) за расшифровку данных. Эксперты рассказывают, что после выплаты выкупа DeadBolt направляет биткоин-транзакцию на тот же адрес, который используется для выплаты выкупа. В итоге транзакция содержит ключ для дешифрования данных для жертвы, который можно найти в OP_RETURN. Когда пострадавший предоставляет этот ключ малвари, тот преобразуется в хэш SHA256, сравнивается с хэшем SHA256 ключа дешифрования жертвы, а также с хэшем SHA256 мастер-ключа дешифрования DeadBolt. Если ключ дешифрования совпадает с одним из хэшей SHA256, зашифрованные файлы на пострадавшем NAS будут расшифрованы. «Полиция заплатила выкуп, получила ключи дешифрования, а затем отозвала свои платежи. Эти ключи позволяют разблокировать такие файлы, как ценные фотографии или административные файлы, не тратя денег пострадавших», — сообщают правоохранители в своем пресс-релизе. Издание Bleeping Computer выяснило подробности этой операции у ИБ-эксперта из компании RespondersNU Рики Геверса (Rickey Gevers). Тот подтвердил, что полиция обманом заставила вымогателей создать ключи дешифрования, и отменила свои транзакции до того, как они были включены в блок. Дело в том, что ключ для дешифрования отправлялись жертвами немедленно, не дожидаясь подтверждения легитимности транзакции. Это позволило правоохранителям и экспертам произвести фальшивые выплаты выкупов с низкой комиссией, когда блокчейн был сильно перегружен. Так как блокчейну требовалось время для подтверждения транзакций, полиция успела совершить транзакции, получить ключи и немедленно отменить выплаты. «Мы специально совершали транзакции с минимальной комиссией. Так как мы знали, что злоумышленники быстро все поймут, нам пришлось действовать грубо и хватать, что успеем, — рассказывает Геверс. — Злоумышленники поняли, что происходит, в течение нескольких минут, но мы успели получить 155 ключей. 90% жертв сообщали об атаках DeadBolt в полицию, так что большинство из них получило свои ключ дешифрования совершенно бесплатно». К сожалению, вымогатели поняли, как именно их обманули, поэтому теперь хакеры, стоящие за DeadBold, требуют двойного подтверждения, прежде чем передавать жертвам ключи для расшифровки данных. RespondersNU, в сотрудничестве с полицией Нидерландов и Европолом, создали специальный сайт, где жертвы DeadBolt, которые не обращались в полицию или не были идентифицированы, могут проверить, нет ли среди ключей, обманом полученных у злоумышленников, ключа для их пострадавшего устройства.

Другие новости

Реклама


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!