A Polícia Nacional Holandesa, junto com especialistas em segurança da informação da RespondersNU, enganou os operadores do criptografador DeadBolt para que lhes fornecessem 155 chaves para descriptografar dados. Por esta, os especialistas tiveram que falsificar pagamentos de resgates.
Deixe-me lembrá-lo que o Fechadura Morta ransomware está ativo desde o início de 2022 e ataca NAS de vários fabricantes. Basicamente, o ransomware “especializado” em Qnap dispositivos, mas ataca ASUSTOR NAS também foram detectados.
De acordo com a polícia holandesa, ataques de ransomware já comprometeram mais 20,000 dispositivos em todo o mundo e pelo menos 1,000 na Holanda. Exigência dos invasores 0.03 Bitcoin (sobre $575) dos proprietários do NAS hackeado para descriptografar os dados.
Especialistas dizem que depois de pagar o resgate, DeadBolt envia uma transação de bitcoin para o mesmo endereço usado para pagar o resgate. Como resultado, a transação contém a chave para descriptografar os dados da vítima, que pode ser encontrado em OP_RETURN.
Quando a vítima fornece esta chave ao malware, ele é convertido em um hash SHA256, comparado com o hash SHA256 da chave de descriptografia da vítima e o hash SHA256 da chave mestra de descriptografia DeadBolt. Se a chave de descriptografia corresponder a um dos hashes SHA256, os arquivos criptografados no NAS afetado serão descriptografados.
Computador bipando descobri os detalhes desta operação através de um RespondentesNU especialista em segurança da informação Rickey Gevers. Ele confirmou que a polícia enganou o ransomware para que ele criasse chaves de descriptografia e cancelou suas transações antes que elas fossem incluídas no bloco.
O facto é que as vítimas enviaram a chave de desencriptação imediatamente, sem esperar pela confirmação da legitimidade da transacção.. Isso permitiu que autoridades e especialistas falsificassem pagamentos de resgate de taxas baixas quando o blockchain estava fortemente congestionado. Como o blockchain precisava de tempo para confirmar as transações, a polícia concluiu as transações, peguei as chaves, e cancelou imediatamente os pagamentos.
Infelizmente, os operadores de ransomware descobriram exatamente como foram enganados. É por isso que os hackers por trás do DeadBold exigem dupla confirmação antes de entregar as chaves para descriptografar os dados às vítimas.
RespondentesNU, em cooperação com a polícia holandesa e a Europol, criou um site especial onde as vítimas do DeadBolt que não contataram a polícia ou não foram identificadas podem verificar se, entre as chaves obtidas fraudulentamente dos invasores, existe uma chave para o dispositivo afetado.
