Cảnh sát Quốc gia Hà Lan, phối hợp với công ty an ninh mạng Responders.NU, đã lừa băng đảng ransomware DeadBolt giao nộp 155 khóa giải mã bằng cách giả mạo các khoản thanh toán tiền chuộc.
DeadBolt là một hoạt động ransomware hoạt động từ tháng 1 và được biết đến với việc yêu cầu 0,03 bitcoin tiền chuộc sau khi mã hóa hàng nghìn thiết bị lưu trữ đính kèm mạng QNAP và Asustor (NAS) (20.000 trên toàn thế giới và ít nhất 1.000 ở Hà Lan theo cảnh sát Hà Lan.)
Sau khi tiền chuộc được thanh toán, DeadBolt tạo một giao dịch bitcoin đến cùng một địa chỉ tiền chuộc bitcoin có chứa khóa giải mã cho nạn nhân (khóa giải mã có thể được tìm thấy trong đầu ra OP_RETURN của giao dịch).
Khi nạn nhân nhập khóa này vào màn hình ghi chú tiền chuộc, nó sẽ được chuyển đổi thành hàm băm SHA256 và so sánh với hàm băm SHA256 của khóa giải mã của nạn nhân và hàm băm SHA256 của khóa giải mã chính DeadBolt.
Nếu khóa giải mã khớp với một trong các hàm băm SHA256, các tệp được mã hóa trên ổ cứng NAS sẽ được giải mã. "Cảnh sát đã trả tiền, nhận được chìa khóa giải mã và sau đó rút lại các khoản thanh toán. Các khóa này cho phép các tệp như ảnh quý giá hoặc chính quyền được mở khóa lại, miễn phí cho nạn nhân, "theo một thông cáo báo chí được công bố hôm thứ Sáu.
Băng đảng ransomware bị lừa tại trò chơi của riêng mình
Như Responders.NU chuyên gia bảo mật Rickey Gevers nói với BleepingComputer, cảnh sát đã lừa băng đảng ransomware giải phóng các khóa bằng cách hủy các giao dịch trước khi chúng được đưa vào mã giải khóa.
"Vì vậy, chúng tôi đã thực hiện các giao dịch với một khoản phí tối thiểu. Và vì chúng tôi biết rằng kẻ tấn công sẽ phát hiện ra một khoảnh khắc, chúng tôi đã phải đập phá và tóm lấy," Gevers nói. "
Kẻ tấn công phát hiện ra trong vòng vài phút, nhưng chúng tôi đã có thể lấy được 155 chìa khóa. 90% nạn nhân đã báo cáo vụ tấn công chốt cửa cho cảnh sát. Vì vậy, hầu hết trong số họ đều nhận được khóa giải mã miễn phí.
Khi nạn nhân thực hiện thanh toán tiền chuộc cho hoạt động DeadBolt, thao tác sẽ tự động gửi khóa giải mã khi phát hiện giao dịch bitcoin với số tiền chuộc chính xác. Tuy nhiên, khóa giải mã được gửi ngay lập tức mà không cần chờ bitcoin xác nhận rằng giao dịch bitcoin là hợp pháp.
Điều này cho phép Cảnh sát Hà Lan và Responders.NU tạo ra các khoản thanh toán tiền chuộc với mức phí thấp vào thời điểm chuỗi khối Bitcoin đang bị tắc nghẽn nặng nề. Tắc nghẽn nặng nề kết hợp với một khoản phí thấp đã khiến chuỗi khối Bitcoin mất nhiều thời gian hơn để xác nhận giao dịch, cho phép Cảnh sát thực hiện giao dịch, nhận chìa khóa và hủy ngay lập tức giao dịch bitcoin của họ.
Chiến thuật này cho phép họ có được 155 khóa giải mã một cách hiệu quả mà không phải trả bất kỳ khoản phí nào ngoài phí gửi giao dịch.
Thật không may, sau khi nhận ra họ đã bị lừa và sẽ không được trả tiền, băng đảng ransomware DeadBold đã thay đổi mọi thứ và bây giờ yêu cầu xác nhận kép trước khi phát hành khóa giải mã.
Responders.NU cũng đã tạo ra một nền tảng (phối hợp với Cảnh sát Hà Lan và Europol), nơi các nạn nhân DeadBolt chưa nộp báo cáo cảnh sát hoặc không thể xác định được danh tính có thể kiểm tra xem khóa giải mã của họ có nằm trong số những khóa thu được từ băng đảng ransomware hay không.
"Thông qua trang web deadbolt.responders.nu, nạn nhân có thể dễ dàng kiểm tra xem chìa khóa của họ có còn khả dụng hay không và làm theo hướng dẫn mở khóa", Gevers nói thêm.
Ransomware DeadBolt đã tạo ra rất nhiều nạn nhân và đã nhắm mục tiêu đến khách hàng QNAP theo từng đợt kể từ đầu năm, như được thể hiện bởi QNAP yêu cầu người dùng cập nhật thiết bị của họ và không để lộ chúng trực tuyến nhiều lần