Când polițiștii piratați înapoi: poliția olandeză lângă criminalii DEADBOLT (legal!)

Din păcate, a trebuit să acoperim ransomware DEADBOLT de cateva ori înainte pe Naked Security.

De aproape doi ani deja, acest jucător de nișă în scena criminalității cibernetice ransomware s-a vândut în principal pe utilizatorii casnici și pe întreprinderile mici într-un mod foarte diferit de majoritatea atacurilor ransomware contemporane:

Dacă ați fost implicat în securitatea cibernetică în urmă cu aproximativ zece ani, când ransomware-ul a început să devină un mare generator de bani pentru lumea interlopă cibernetică, vă veți aminti fără nicio plăcere de „mărcile mari” de ransomware de atunci: CryptoLocker, Locky, TeslaCrypt, Și multe altele.

În mod obișnuit, primii jucători din crima de ransomware s-au bazat pe să ceară plăți de șantaj de la câte persoane ar putea.

Spre deosebire de escrocii de ransomware din liga majoră de astăzi, pe care le-ai putea rezuma ca „țintește să stoarce companii pentru milioane de dolari de sute de ori”, primii jucători au mers pe o cale mai orientată spre consumator „Șantajează milioane de oameni pentru 300 USD fiecare” (sau 600 USD, sau 1000 USD – sumele variau).

Ideea a fost simplă: prin amestecarea fișierelor chiar acolo pe propriul laptop, escrocii nu trebuiau să-și facă griji cu privire la lățimea de bandă de încărcare pe internet și să încerce să vă fure toate fișierele pentru a vi le putea vinde înapoi mai târziu.

Ei ar putea lăsa toate fișierele tale în fața ta, aparent la vedere, dar complet inutilizabile.

Dacă ați încerca să deschideți un document amestecat cu procesorul de text, de exemplu, ați vedea fie pagini inutile pline de varză mărunțită digitală, fie un mesaj pop-up prin care se cere scuze că aplicația nu a recunoscut tipul fișierului și nu a putut deschide deloc.

Calculatorul funcționează, datele nu

De obicei, escrocii se străduiau să vă lase sistemul de operare și aplicațiile intacte, concentrându-se în schimb pe datele dvs.

De fapt, nu au vrut ca computerul dvs. să nu mai funcționeze complet, din mai multe motive importante.

În primul rând, au vrut să vezi și să simți durerea de cât de aproape, dar totuși atât de departe erau fișierele tale prețioase: fotografiile tale de nuntă, videoclipurile pentru copii, declarațiile fiscale, studiile universitare, conturile de încasat, conturile de plătit și toate celelalte date digitale pe care le ai. Intenționam să dau înapoi de luni de zile, dar încă nu o reușisem.

În al doilea rând, au vrut să vedeți nota de șantaj pe care au lăsat-o ÎN SCRISORI URIAȘE CU IMAGINI DRAMATICE, instalată ca fundal de pe desktop, astfel încât să nu o puteți rata, completă cu instrucțiuni despre cum să achiziționați criptomonedele pe care ar trebui să le cumpărați înapoi. cheia de decriptare pentru a vă decripta datele.

În al treilea rând, au vrut să se asigure că puteți încă să vă conectați în browser, mai întâi pentru a efectua o căutare zadarnică pentru „cum să vă recuperați de la ransomware-ul XYZ fără să plătiți”, apoi, pe măsură ce au început disperarea și disperarea, să faceți mâna pe un prieten. știai că te-ar putea ajuta cu partea criptomonedă a operațiunii de salvare.

Din păcate, primii jucători din acest complot criminal odios, în special gașca CryptoLocker, s-au dovedit a fi destul de de încredere în a răspunde rapid și precis victimelor care au plătit, câștigând un fel de reputație de „onoare printre hoți”.

Acest lucru părea să convingă noile victime că, deși plata aia a ars o gaură uriașă în finanțele lor pentru viitorul apropiat și că era un pic ca și cum ai face o înțelegere cu diavolul, foarte probabil le-ar recupera datele.

Atacurile ransomware moderne, în schimb, urmăresc de obicei să pună la fața locului toate computerele din companii întregi (sau școli, sau spitale, sau municipalități sau organizații caritabile) în același timp. Dar crearea de instrumente de decriptare care funcționează fiabil într-o întreagă rețea este o sarcină de inginerie software surprinzător de dificilă. De fapt, obținerea datelor înapoi bazându-se pe escroci este o afacere riscantă. În Sondajul Sophos Ransomware 2021, 1/2 dintre victimele care au plătit au pierdut cel puțin 1/3 din datele lor, iar 4% dintre ele nu au primit nimic înapoi. în 2022, am constatat că la jumătatea drumului a fost și mai rău, cu 1/2 dintre cei care au plătit pierzând 40% sau mai mult din datele lor și doar 4% dintre ei și-au recuperat toate datele. În cele infame Conductă colonială Atacul ransomware, compania a spus că nu va plăti, apoi a încasat oricum peste 4,400,000 de dolari, doar pentru a constata că instrumentul de decriptare furnizat de infractorii era prea lent pentru a fi de folos. Așa că au ajuns să aibă toate costurile de recuperare pe care le-ar fi avut dacă nu i-ar fi plătit pe escrocii, plus o ieșire de 4.4 milioane de dolari care a fost la fel de bună ca aruncată în canal. (În mod uimitor, și aparent din cauza securității cibernetice operaționale slabe de către criminali, FBI și-a revenit în cele din urmă aproximativ 85% din bitcoinii plătiți de Colonial. Cu toate acestea, nu vă bazați pe acest tip de rezultat: astfel de clawback-uri la scară largă sunt o excepție rară, nu o regulă.)

O nisa profitabila

Escrocii DEADBOLT, se pare, au găsit o nișă profitabilă proprii, prin care nu trebuie să pătrundă în rețeaua dvs. și să se îndrepte spre toate computerele de pe ea și nici măcar nu trebuie să-și facă griji cu privire la introducerea de programe malware pe laptopul dvs. sau pe oricare dintre computerele obișnuite din dvs. gospodărie, birou sau ambele.

În schimb, folosesc scanări ale rețelei globale pentru a identifica dispozitivele NAS nepatchate (rețea de stocare atașată la rețea), de obicei cei de la furnizorul principal QNAP și amestecați direct totul pe dispozitivul server de fișiere, fără a atinge nimic altceva din rețea.

Ideea este că, dacă utilizați NAS-ul așa cum o fac majoritatea oamenilor acasă sau într-o afacere mică – pentru copii de siguranță și ca stocare principală pentru fișiere mari, cum ar fi muzică, videoclipuri și imagini – atunci pierderea accesului la tot ce este de pe NAS este probabil să fie cel puțin la fel de catastrofal ca pierderea tuturor fișierelor de pe toate laptopurile și computerele desktop, sau poate chiar mai rău.

Deoarece probabil că vă lăsați dispozitivul NAS pornit tot timpul, escrocii pot pătrunde oricând doresc, inclusiv atunci când este cel mai probabil să fiți adormit; trebuie să atace doar un dispozitiv; nu trebuie să vă faceți griji dacă utilizați computere Windows sau Mac...

… și prin exploatarea unei erori necorecte în dispozitivul în sine, nu trebuie să vă păcălească pe dvs. sau pe oricine altcineva din rețeaua dvs. pentru a descărca un fișier suspect sau a face clic pe un site web dubios pentru a-și obține punctul inițial.

Escrocii nici măcar nu trebuie să-și facă griji că vă vor primi un mesaj prin e-mail sau prin intermediul imaginii de fundal de pe desktop: ei rescriu în mod viclean pagina de conectare în interfața web a dispozitivului dvs. NAS, așa că de îndată ce încercați să vă autentificați, poate pentru a afla de ce. toate fișierele tale sunt încurcate, primești o cerere de șantaj.

Și mai ascuns, escrocii DEADBOLT au găsit o modalitate de a trata cu tine care evită orice corespondență prin e-mail (posibil urmăribilă), nu necesită servere web întunecate (potențial complicate) și ocolește orice negociere: este felul lor, sau autostrada de date.

Mai simplu spus, fiecărei victime i se prezintă o adresă Bitcoin unică la care i se spune să trimită BTC 0.03 (în prezent [2022-10-21] puțin sub 600 USD):

Tranzacția în sine acționează atât ca un mesaj („Am decis să plătesc”), cât și ca plata în sine („și aici sunt fondurile”).

Escrocii vă trimit apoi 0 USD în schimb - o tranzacție care nu are un scop financiar, dar care conține un comentariu de 32 de caractere. (Tranzacțiile cu Bitcoin pot conține date suplimentare în câmpul cunoscut ca OP_RETURN care nu transferă fonduri, dar poate fi folosit pentru a include comentarii sau note.)

Aceste 32 de caractere sunt cifre hexazecimale care reprezintă o cheie de decriptare AES de 16 octeți, care este unică pentru dispozitivul dvs. NAS codificat.

Lipiți codul hexazecimal din tranzacția BTC în „pagina de conectare” a ransomware-ului, iar procesul declanșează un program de decriptare lăsat în urmă de escroci care vă dezordonează (speriți!) toate datele.

Suna la politie!

Dar iată o întorsătură fascinantă a acestei povești.

Poliția olandeză, lucrând împreună cu o companie cu expertiză în criptomonede, a venit cu o truc ascuns al lor pentru a contracara nădejdele infractorilor DEADBOLT.

Ei au observat că, dacă o victimă trimitea o plată Bitcoin pentru a cumpăra înapoi cheia de decriptare, escrocii se pare că au răspuns cu cheia de decriptare de îndată ce tranzacția de plată BTC a lovit rețeaua Bitcoin în căutarea pe cineva care să o „mineze”...

… în loc să aștepte până când cineva din ecosistemul Bitcoin a raportat că de fapt a minat tranzacția și, astfel, a confirmat-o pentru prima dată.

Cu alte cuvinte, pentru a folosi o analogie, escrocii te lasă să ieși din magazinul lor cu produsul înainte de a aștepta finalizarea plății cu cardul de credit.

Și, deși nu puteți anula în mod explicit o tranzacție BTC, puteți trimite două plăți conflictuale în același timp (ceea ce este cunoscut în jargon drept „cheltuială dublă”), atâta timp cât sunteți mulțumit că prima primește preluat, extras și „confirmat” este cel care va trece și, în cele din urmă, va fi acceptat de blockchain.

Cealaltă tranzacție va fi în cele din urmă renunțată, deoarece Bitcoin nu permite cheltuirea dublă. (Dacă ar fi, sistemul nu ar putea funcționa.)

Vorbind în mod liber, odată ce minerii Bitcoin văd că o tranzacție care nu a fost încă procesată implică fonduri pe care altcineva le-a „exploat”, pur și simplu încetează să lucreze la tranzacția neterminată, pe motiv că acum nu are valoare pentru ei.

Nu este implicat nici un altruism aici: la urma urmei, dacă majoritatea rețelei a decis deja să accepte cealaltă tranzacție și să o îmbrățișeze în blockchain ca „cea pe care comunitatea o acceptă ca fiind valabilă”, tranzacția conflictuală care nu a mers. prin tot este mai rău decât inutilă pentru minerit.

Dacă continuați să încercați să procesați tranzacția aflată în conflict, atunci chiar dacă o „mină” cu succes în cele din urmă, nimeni nu va accepta confirmarea dvs. de a doua postare, pentru că nu este nimic în ea pentru a face acest lucru...

…deci știți dinainte că nu veți primi niciodată taxe de tranzacție sau bonus Bitcoin pentru munca dvs. redundantă de minerit și, astfel, știți dinainte că nu are rost să pierdeți timp sau energie electrică.

Atâta timp cât nicio persoană (sau grupul de minerit, sau cartelul de pool-uri de minerit) nu controlează vreodată mai mult de 50% din rețeaua Bitcoin, nimeni nu ar trebui să fie vreodată în măsură să comande suficient timp și energie pentru a „deconfirma” o rețea deja acceptată. tranzacție prin crearea unui nou lanț de confirmări care le depășește pe toate cele existente.

Oferă mai mulți bani…

Având în vedere că tocmai am menționat taxe de tranzactie, probabil că puteți vedea unde se duce asta.

Când un miner confirmă cu succes o tranzacție care în cele din urmă este acceptată în blockchain (de fapt, un pachet de tranzacții), primește o recompensă în bitcoini proaspăt bătuți (în prezent, suma este BTC6.25), plus toate taxele oferite pentru fiecare tranzacție din pachet.

Cu alte cuvinte, puteți stimula minerii să prioritizeze tranzacția dvs. oferindu-vă să plătiți un pic mai mult în taxele de tranzacție decât toți ceilalți...

…sau dacă nu vă grăbiți, puteți oferi o taxă de tranzacție scăzută și puteți obține servicii mai lente din partea comunității miniere.

De fapt, dacă chiar nu vă interesează cât timp durează, vă puteți oferi să plătiți zero bitcoin ca taxă de tranzacție.

Ceea ce au făcut polițiștii olandezi pentru 155 de victime din 13 țări diferite care au cerut ajutor pentru a-și recupera datele.

Ei au trimis 155 de plăți din propria selecție de adrese BTC către escroci, toți oferindu-se să plătească comisioane de tranzacție de zero.

Escrocii, aparent bazându-se pe un proces automat, scriptat, au trimis imediat înapoi cheile de decriptare.

Odată ce polițiștii au avut fiecare cheie de decriptare, au trimis imediat o tranzacție de „cheltuire dublă”...

…de data aceasta cu o taxă tentantă oferită în schimbul plății aceleași fonduri pe care le-au oferit inițial escrocilor înapoi!

Ghiciți care tranzacții au atras mai întâi atenția minerilor? Ghici care au fost confirmate? Ghiciți care tranzacții au ajuns la nimic?

Plățile propuse către criminali au fost renunțate ca pe cartofi fierbinți de comunitatea Bitcoin, înainte escrocii au fost plătiți, dar după au dezvăluit cheile de decriptare.

Rezultat unic

Vesti bune…

...cu excepția, desigur, că această capcană (nu este o șmecherie dacă este făcută în mod legal!) nu va funcționa din nou.

Din păcate, tot ce trebuie să facă escrocii pe viitor este să aștepte până când vor vedea că plățile lor sunt confirmate înainte de a răspunde cu cheile de decriptare, în loc să se declanșeze imediat la prima apariție a fiecărei cereri de tranzacție.

Cu toate acestea, polițiștii i-a întrecut pe escrocii de data aceasta, iar 155 de persoane și-au primit datele înapoi pentru nimic.

Sau cel puțin pentru aproape nimic – există o mică chestiune a taxelor de tranzacție care au fost necesare pentru ca planul să funcționeze, deși cel puțin niciunul dintre acești bani nu a mers direct la escroci. (Taxele merg către minerii fiecărei tranzacții.)

Poate fi un rezultat relativ modest și poate fi o victorie unică, dar îl lăudăm totuși!

---

Nu aveți timp sau experiență pentru a vă ocupa de răspunsul la amenințările de securitate cibernetică? Vă faceți griji că securitatea cibernetică vă va distrage atenția de la toate celelalte lucruri pe care trebuie să le faceți?

Aflați mai multe despre Sophos Managed Detection and Response:
Vânătoarea, detectarea și răspunsul amenințărilor 24/7  ▶

---