Mae Heddlu Cenedlaethol yr Iseldiroedd wedi tarfu ar grŵp ransomware Deadbolt, gan adennill allweddi dadgryptio 90% o ddioddefwyr a gysylltodd â’r heddlu, yn ôl adroddiad gan Chainalysis.
Ers 2021, mae Deadbolt wedi manteisio ar fusnesau bach ac weithiau unigolion, gan fynnu pridwerth llai a all adio'n gyflym. Yn 2022, llwyddodd Deadbolt i gasglu mwy na $2.3 miliwn gan tua 5,000 o ddioddefwyr. Y taliad pridwerth cyfartalog oedd $476 - llawer is na'r cyfartaledd ar draws yr holl sgamiau ransomware, sef dros $70,000.
Dyluniodd datblygwyr Deadbolt ffordd unigryw o gyflwyno allweddi dadgryptio i ddioddefwyr. Roedd hyn yn ei gwneud hi'n bosibl targedu cymaint - ac fel y darganfu heddlu'r Iseldiroedd, dyma fyddai cwymp y grŵp yn y pen draw.
Fel yr adroddwyd gan Chainalysis, mae Deadbolt yn manteisio ar ddiffyg diogelwch mewn dyfeisiau storio yr ymosodwyd arnynt gan rwydwaith a wneir gan QNAP. Unwaith y bydd dyfais dioddefwr wedi'i heintio, mae neges syml yn eu cyfarwyddo i anfon swm penodol o bitcoin i gyfeiriad waled.
Mae Deadbolt yn anfon yr allwedd dadgryptio i ddioddefwyr yn awtomatig unwaith y bydd dioddefwr yn talu trwy anfon swm bach o bitcoin i'r cyfeiriad pridwerth gyda'r allwedd dadgryptio wedi'i ysgrifennu yn y maes OP_RETURN. Mae Chainalysis yn credu bod gan ddatblygwyr drafodion wedi'u rhag-raglennu i anfon 0.0000546 BTC (tua $1) i'w gyfeiriad waled ei hun bob tro y bydd dioddefwr yn talu, fel bod arian ar gael i gyfathrebu'r allwedd dadgryptio.
Heddlu Iseldiroedd tric Deadbolt system
Y dull eithaf soffistigedig hwn a arweiniodd Heddlu Cenedlaethol yr Iseldiroedd i darfu ar Deadbolt. Sylweddolodd ymchwilwyr y gallent dwyllo'r system i ddychwelyd allweddi dadgryptio i gannoedd o ddioddefwyr - gan ganiatáu iddynt adfer data heb besychu'r pridwerth mewn gwirionedd.
“Wrth edrych trwy’r trafodion yn Chainalysis, gwelsom, mewn rhai achosion, fod Deadbolt yn darparu’r allwedd dadgryptio cyn i daliad y dioddefwr gael ei gadarnhau mewn gwirionedd ar y blockchain,” meddai ymchwilydd wrth Chainalysis.
Roedd hyn yn golygu bod tua ffenestr munud 10 - tra bod y trafodiad heb ei gadarnhau yn aros yn mempool Bitcoin - i dwyllo'r system.
“Gallai dioddefwr anfon y taliad i Deadbolt, aros i Deadbolt anfon yr allwedd ddadgryptio, ac yna defnyddio ffi ailosod i newid y trafodiad arfaethedig, a chael y taliad ransomware yn ôl i’r dioddefwr,” meddai’r ymchwilydd.
Roedd heddlu’r Iseldiroedd yn wynebu un broblem, fodd bynnag - mae’n debyg mai dim ond un ergyd gawson nhw cyn i Deadbolt sylweddoli beth oedd yn digwydd. Felly, ynghyd ag Interpol, bu ymchwilwyr yn chwilio adroddiadau heddlu o bob rhan o'r wlad ac eraill i nodi cymaint o ddioddefwyr nad oeddent wedi talu'r pridwerth eto.
Ffynhonnell: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/