Mae Heddlu Cenedlaethol yr Iseldiroedd wedi tarfu ar grŵp ransomware Deadbolt, gan adennill allweddi dadgryptio 90% o ddioddefwyr a gysylltodd â’r heddlu, yn ôl adroddiad gan Chainalysis.
Ers 2021, mae Deadbolt wedi manteisio ar fusnesau bach ac weithiau unigolion, gan fynnu pridwerth llai a all adio'n gyflym. Yn 2022, llwyddodd Deadbolt i gasglu mwy na $2.3 miliwn gan tua 5,000 o ddioddefwyr. Y taliad pridwerth cyfartalog oedd $476 - llawer is na'r cyfartaledd ar draws yr holl sgamiau ransomware, sef dros $70,000.
Dyluniodd datblygwyr Deadbolt ffordd unigryw o gyflwyno allweddi dadgryptio i ddioddefwyr. Roedd hyn yn ei gwneud hi'n bosibl targedu cymaint - ac fel y darganfu heddlu'r Iseldiroedd, dyma fyddai cwymp y grŵp yn y pen draw.
Fel yr adroddwyd gan Chainalysis, mae Deadbolt yn manteisio ar ddiffyg diogelwch mewn dyfeisiau storio yr ymosodwyd arnynt gan rwydwaith a wneir gan QNAP. Unwaith y bydd dyfais dioddefwr wedi'i heintio, mae neges syml yn eu cyfarwyddo i anfon swm penodol o bitcoin i gyfeiriad waled.
Mae Deadbolt yn anfon yr allwedd dadgryptio i ddioddefwyr yn awtomatig unwaith y bydd dioddefwr yn talu trwy anfon swm bach o bitcoin i'r cyfeiriad pridwerth gyda'r allwedd dadgryptio wedi'i ysgrifennu yn y maes OP_RETURN. Mae Chainalysis yn credu bod gan ddatblygwyr drafodion wedi'u rhag-raglennu i anfon 0.0000546 BTC (tua $1) i'w gyfeiriad waled ei hun bob tro y bydd dioddefwr yn talu, fel bod arian ar gael i gyfathrebu'r allwedd dadgryptio.
Heddlu Iseldiroedd tric Deadbolt system
Y dull eithaf soffistigedig hwn a arweiniodd Heddlu Cenedlaethol yr Iseldiroedd i darfu ar Deadbolt. Sylweddolodd ymchwilwyr y gallent dwyllo'r system i ddychwelyd allweddi dadgryptio i gannoedd o ddioddefwyr - gan ganiatáu iddynt adfer data heb besychu'r pridwerth mewn gwirionedd.
“Wrth edrych trwy’r trafodion yn Chainalysis, gwelsom, mewn rhai achosion, fod Deadbolt yn darparu’r allwedd dadgryptio cyn i daliad y dioddefwr gael ei gadarnhau mewn gwirionedd ar y blockchain,” meddai ymchwilydd wrth Chainalysis.
Roedd hyn yn golygu bod tua ffenestr munud 10 - tra bod y trafodiad heb ei gadarnhau yn aros yn mempool Bitcoin - i dwyllo'r system.
“Gallai dioddefwr anfon y taliad i Deadbolt, aros i Deadbolt anfon yr allwedd ddadgryptio, ac yna defnyddio ffi ailosod i newid y trafodiad arfaethedig, a chael y taliad ransomware yn ôl i’r dioddefwr,” meddai’r ymchwilydd.
Roedd heddlu’r Iseldiroedd yn wynebu un broblem, fodd bynnag - mae’n debyg mai dim ond un ergyd gawson nhw cyn i Deadbolt sylweddoli beth oedd yn digwydd. Felly, ynghyd ag Interpol, bu ymchwilwyr yn chwilio adroddiadau heddlu o bob rhan o'r wlad ac eraill i nodi cymaint o ddioddefwyr nad oeddent wedi talu'r pridwerth eto.
Darllenwch fwy: Mae Coinbase yn anghytuno â dirwy bron i $4M gan fanc canolog yr Iseldiroedd
“Fe wnaethon ni ysgrifennu sgript i anfon trafodiad yn awtomatig i Deadbolt, aros am drafodiad arall gyda'r allwedd dadgryptio yn gyfnewid, a defnyddio RBF ar ein trafodiad talu. Gan na allem ei brofi ar Deadbolt, bu'n rhaid i ni ei redeg ar testnets i sicrhau ei fod yn gweithio, ”meddai'r ymchwilydd.
Unwaith i heddlu'r Iseldiroedd ddefnyddio'r sgript, ni chymerodd lawer o amser i Deadbolt ddal ymlaen a stopio ei ddull awtomataidd o ddosbarthu allweddi dadgryptio trwy OP_RETURN. Ond diolch i ymdrechion cydgysylltiedig, llwyddodd heddlu bron i 90% o ddioddefwyr i adennill eu data ac osgoi talu'r pridwerth. Yn ôl awdurdodau, collodd Deadbolt “gannoedd o filoedd o ddoleri.”
Mae heddlu’r Iseldiroedd yn awyddus i atgoffa’r cyhoedd i riportio seiberdroseddu—wedi’r cyfan, dim ond trwy adroddiadau’r heddlu y gellid adnabod dioddefwyr. Nid oedd llawer o ddioddefwyr Deadbolt nad oeddent erioed wedi ffeilio adroddiadau heddlu yn gallu adennill taliadau pridwerth.
O ran Deadbolt, mae'n dal i weithredu. Fodd bynnag, mae'r gang yn cael ei orfodi i fabwysiadu gwahanol ddulliau o gyflwyno allweddi dadgryptio, gan godi ei orbenion.
Am newyddion mwy gwybodus, dilynwch ni ymlaen Twitter ac Google News neu danysgrifio i'n YouTube sianel.
Ffynhonnell: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/