La policía nacional holandesa, junto con especialistas en seguridad de la información de RespondersNU, engañó a los operadores del cifrador DeadBolt para que les dieran 155 claves para descifrar datos. Para esto, Los expertos tuvieron que falsificar pagos de rescate..
Déjame recordarte que el perno muerto ransomware ha estado activo desde el comienzo de 2022 y ataca NAS de varios fabricantes. Básicamente, el ransomware “se especializa” en Qnap dispositivos, pero ataca a ASUSTOR NAS también han sido detectados.
Según la policía holandesa, Los ataques de ransomware ya han comprometido más de 20,000 dispositivos en todo el mundo y al menos 1,000 en los Paises Bajos. Los atacantes exigen 0.03 bitcóin (acerca de $575) de los propietarios del NAS pirateado para descifrar los datos.
Los expertos dicen que después de pagar el rescate, DeadBolt envía una transacción de bitcoin a la misma dirección que se utiliza para pagar el rescate. Como resultado, la transacción contiene la clave para descifrar los datos de la víctima, que se puede encontrar en OP_RETURN.
Cuando la víctima proporciona esta clave al malware, se convierte a un hash SHA256, en comparación con el hash SHA256 de la clave de descifrado de la víctima y el hash SHA256 de la clave de descifrado maestra de DeadBolt. Si la clave de descifrado coincide con uno de los hashes SHA256, los archivos cifrados en el NAS afectado se descifrarán.
Computadora que suena conoció los detalles de esta operación a través de un RespondedoresNU experto en seguridad de la información Rickey Gevers. Confirmó que la policía engañó al ransomware para que creara claves de descifrado y canceló sus transacciones antes de que fueran incluidas en el bloque..
El hecho es que las víctimas enviaron la clave de descifrado inmediatamente sin esperar la confirmación de la legitimidad de la transacción.. Esto permitió a las autoridades y a los expertos falsificar pagos de rescate a bajo costo cuando la cadena de bloques estaba muy congestionada.. Dado que blockchain necesitaba tiempo para confirmar las transacciones, la policía completó las transacciones, tengo las llaves, e inmediatamente canceló los pagos.
Desgraciadamente, Los operadores de ransomware han descubierto exactamente cómo fueron estafados.. Esta es la razón por la que los piratas informáticos detrás de DeadBold requieren una doble confirmación antes de entregar las claves para descifrar los datos a las víctimas..
RespondedoresNU, en cooperación con la policía holandesa y Europol, ha creado un sitio especial donde las víctimas de DeadBolt que no se han puesto en contacto con la policía o no han sido identificadas pueden comprobar si, entre las claves obtenidas fraudulentamente de los atacantes, hay una clave para su dispositivo afectado.