Поделиться
Силовики изящно обманули хакеров-шифровальщиков на $1 млн и спасли 155 жертв
Полиция Голландии с помощью нехитрых манипуляций выкупила ключи дешифровки у операторов шифровальщика DeadBolt и тотчас же отозвала транзакции, оставив бандитов с носом.
Переиграли на собственном поле
Полиция Голландии обманом выманила у операторов шифровальщика DeadBolt ключи дешифровки для 155 жертв. Это стало возможным благодаря особенностям блокчейна Bitcoin и некотором разгильдяйству со стороны самих шифровальщиков.
DeadBolt — относительно новый игрок на криминальном рынке. Первые сведения о его активности появились в январе 2022 г. Злоумышленникам удалось заблокировать данные в двух десятках тысяч сетевых накопителях производства QNAP и Asustor. Только в Голландии насчитывается около тысячи жертв. За расшифровку данных злоумышленники требуют 0,33 биткоина (около $6,5 тыс. или 675 тыс. руб.) с каждой жертвы.
Технических подробностей известно немного. Согласно пресс-релизу полиции Голландии, представители правоохранительных органов улучили момент, когда блокчейн Bitcoin был перегружен, и буквально забомбили виртуальный кошелек вымогателей транзакциями от имени жертв. Как следствие, транзакции проходили проверку со значительной задержкой. При этом злоумышленники отправляли ключи расшифровки еще до того, как, собственно, проверка транзакции завершалась. В результате полицейским удалось получить 155 ключей расшифровки для разных жертв, после чего все транзакции были отозваны до того, как информация о выплате была записана в блокчейн.
Фактически полицейские выплатили только пошлину, которая взимается с каждой транзакции, а это очень скромная сумма. Таким образом, они сэкономили жертвам в общей сложности около $1 млн.
Злоумышленники быстро спохватились
Действовать пришлось с максимальной оперативностью. Тем не менее, злоумышленники отреагировали быстро и теперь требуют двойного подтверждения каждой транзакции.
Операция проводилась при участии Европола и Национальной полиции и жандармерии Франции. В пресс-релизе отмечено, что приоритет отводился тем лицам и организациям, которые сообщили об атаке со стороны DeadBolt в правоохранительные органы. Их оказалось не так много: в пресс-релизе указывается, что полученные 155 ключей расшифровки покрывают примерно 90% жертв, сообщавших о нападении со стороны шифровальщика.
«Жертвы шифровальщиков не слишком часто обращаются в правоохранительные органы, зачастую предпочитая решать проблему частным порядком, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Причиной обыкновенно оказывается желание избежать огласки: успешные атаки со стороны шифровальщиков, как правило, означают серьезные упущения в киберзащите. С другой стороны, DeadBolt известны как раз тем, что часто используют именно новые уязвимости, о которых даже вендор может не догадываться. Важнее, однако, даже не сами уязвимости, а то, что атакованные NAS-накопители были доступны из глобальной Сети, хотя QNAP многократно и настоятельно рекомендовал своим пользователям максимально ограничивать к ним доступ извне».
QNAP действительно неоднократно призывал пользователей своих устройств закрывать к ним внешний доступ. Тем не менее, успешные атаки на сетевые накопители продолжаются.
Короткая ссылка
