عندما تتسلل الشرطة مرة أخرى: الشرطة الهولندية تفلت من مجرمي DEADBOLT (قانونيًا!)

للأسف ، احتجنا إلى تغطية ملف DEADBOLT انتزاع الفدية عدة مرات قبل على Naked Security.

منذ ما يقرب من عامين بالفعل ، كان هذا اللاعب المتخصص في مشهد الجرائم الإلكترونية لبرامج الفدية يفترس بشكل أساسي المستخدمين المنزليين والشركات الصغيرة بطريقة مختلفة تمامًا عن معظم هجمات برامج الفدية المعاصرة:

إذا كنت منخرطًا في مجال الأمن السيبراني منذ حوالي عشر سنوات ، عندما بدأت برامج الفدية في التحول إلى أداة استثمار ضخمة للأموال في عالم الفضاء الإلكتروني ، فسوف تتذكر بلا ولع على الإطلاق "العلامات التجارية ذات الأسماء الكبيرة" لبرامج الفدية في ذلك الوقت: CryptoLocker, Locky, TeslaCrypt، وغيرها الكثير.

عادة ، اعتمد اللاعبون الأوائل في جريمة برامج الفدية على المطالبة بمدفوعات ابتزاز من العديد من الأفراد الذين يتعدون دفع ثمنها في متناولهم تقريبًا إذا تخطيت الذهاب إلى الحانة لمدة شهر أو ثلاثة. استطاع.

على عكس محتالو برامج الفدية الرئيسية اليوم ، الذين يمكنك تلخيصهم على أنهم "تهدف إلى ابتزاز الشركات بملايين الدولارات مئات المرات"، اتجه اللاعبون الأوائل إلى مسار يهتم به المستهلكون بدرجة أكبر "ابتزاز ملايين الأشخاص مقابل 300 دولار لكل فرد" (أو 600 دولار أو 1000 دولار - اختلفت المبالغ).

كانت الفكرة بسيطة: من خلال خلط ملفاتك على الكمبيوتر المحمول الخاص بك ، لا يحتاج المحتالون إلى القلق بشأن النطاق الترددي لتحميل الإنترنت ومحاولة سرقة جميع ملفاتك حتى يتمكنوا من بيعها لك لاحقًا.

يمكنهم ترك جميع ملفاتك جالسة أمامك ، على ما يبدو على مرأى من الجميع ، لكنها غير صالحة للاستخدام تمامًا.

إذا حاولت فتح مستند مشفر باستخدام معالج الكلمات الخاص بك ، على سبيل المثال ، فسترى إما صفحات عديمة الفائدة مليئة بالملفوف المقطّع رقميًا ، أو رسالة منبثقة تعتذر عن أن التطبيق لم يتعرف على نوع الملف ، ولم يتمكن من فتحه. على الإطلاق.

يعمل الكمبيوتر ، والبيانات لا تعمل

عادةً ما يبذل المحتالون قصارى جهدهم لترك نظام التشغيل وتطبيقاتك سليمة ، مع التركيز على بياناتك بدلاً من ذلك.

لم يريدوا في الواقع أن يتوقف جهاز الكمبيوتر الخاص بك عن العمل تمامًا ، لعدة أسباب مهمة.

أولاً ، أرادوا أن ترى وتشعر بألم مدى قربك من ملفاتك الثمينة ولكن بعيدًا عنها: صور زفافك ، ومقاطع فيديو الأطفال ، والإقرارات الضريبية ، وعمل الدورة الجامعية ، والحسابات المستحقة القبض ، والحسابات الدائنة ، وجميع البيانات الرقمية الأخرى التي كنت أقصد إجراء نسخ احتياطي لأشهر ولكن لم يتم الانتقال إلى هذا الحد بعد.

ثانيًا ، أرادوا منك أن ترى ملاحظة الابتزاز التي تركوها بأحرف ضخمة مع صور درامية ، مثبتة كخلفية لسطح المكتب حتى لا تفوتك ، كاملة مع إرشادات حول كيفية الحصول على العملات المشفرة التي تحتاج إلى إعادة شرائها مفتاح فك التشفير لفك رموز البيانات الخاصة بك.

ثالثًا ، أرادوا التأكد من أنه لا يزال بإمكانك الاتصال بالإنترنت في متصفحك ، أولاً لإجراء بحث غير مجدٍ عن "كيفية التعافي من XYZ ransomware دون دفع" ، وبعد ذلك ، مع ظهور اليأس واليأس ، للحصول على صديق كنت تعلم أنه يمكن أن يساعدك في جزء العملة المشفرة من عملية الإنقاذ.

لسوء الحظ ، تبين أن اللاعبين الأوائل في هذه المؤامرة الإجرامية البغيضة ، ولا سيما عصابة CryptoLocker ، يمكن الاعتماد عليهم إلى حد ما في الرد بسرعة وبدقة على الضحايا الذين دفعوا ، واكتسبوا نوعًا من سمعة "الشرف بين اللصوص".

يبدو أن هذا يقنع الضحايا الجدد أنه على الرغم من كل ذلك ، فقد تسبب في حدوث فجوة كبيرة في مواردهم المالية في المستقبل القريب ، وأنه كان يشبه إلى حد ما عقد صفقة مع الشيطان ، فمن المحتمل جدًا أن يستعيد بياناتهم.

في المقابل ، تهدف هجمات برامج الفدية الحديثة إلى وضع جميع أجهزة الكمبيوتر في شركات بأكملها (أو مدارس أو مستشفيات أو بلديات أو جمعيات خيرية) على الفور في نفس الوقت. لكن إنشاء أدوات فك تشفير تعمل بشكل موثوق عبر شبكة كاملة يعد مهمة هندسة برمجيات صعبة بشكل مدهش. في الواقع ، استعادة بياناتك من خلال الاعتماد على المحتالين هو عمل محفوف بالمخاطر. في ال 2021 استبيان Sophos Ransomware، 1/2 من الضحايا الذين دفعوا فقدوا ثلث بياناتهم على الأقل ، ولم يحصل 1٪ منهم على أي شيء على الإطلاق. في 2022، وجدنا أن منتصف الطريق كان أسوأ ، حيث فقد نصف أولئك الذين دفعوا 1٪ أو أكثر من بياناتهم ، و 2٪ فقط منهم استعادوا جميع بياناتهم. في الشائنة خط أنابيب المستعمرة هجوم الفدية ، قالت الشركة إنها لن تدفع ، ثم اشتهرت بأكثر من 4,400,000 دولار على أي حال ، فقط لتجد أن أداة فك التشفير التي قدمها المجرمون كانت بطيئة جدًا بحيث لا يمكن استخدامها. لذلك انتهى بهم الأمر مع جميع تكاليف الاسترداد التي كانوا سيحصلون عليها إذا لم يدفعوا للمحتالين ، بالإضافة إلى مبلغ 4.4 مليون دولار صادر كان جيدًا مثل صرفه في البالوعة. (بشكل مثير للدهشة ، وعلى ما يبدو بسبب ضعف الأمن السيبراني التشغيلي من قبل المجرمين ، فإن تعافى مكتب التحقيقات الفدرالي في النهاية حوالي 85٪ من عملات البيتكوين التي تدفعها كولونيال. ومع ذلك ، لا تعتمد على هذا النوع من النتائج: مثل هذه المخالفات واسعة النطاق هي استثناء نادر ، وليست القاعدة.)

مكانة مربحة

يبدو أن المحتالين DEADBOLT قد عثروا على ملف مكانة مربحة من تلقاء أنفسهم ، حيث لا يحتاجون إلى اقتحام شبكتك والعمل في طريقهم إلى جميع أجهزة الكمبيوتر الموجودة عليها ، ولا داعي للقلق بشأن تسلل البرامج الضارة إلى الكمبيوتر المحمول أو أي من أجهزة الكمبيوتر العادية في المنزل أو المكتب أو كليهما.

بدلاً من ذلك ، يستخدمون عمليات مسح الشبكة العالمية لتحديد أجهزة NAS غير المصححة (شبكة التخزين المرفقة) ، عادةً من البائعين الرئيسيين QNAP ، ويقومون مباشرة بتدافع كل شيء على جهاز خادم الملفات الخاص بك ، دون لمس أي شيء آخر على شبكتك.

تكمن الفكرة في أنك إذا كنت تستخدم NAS كما يفعل معظم الأشخاص في المنزل أو في شركة صغيرة - للنسخ الاحتياطي ، وكتخزين أساسي للملفات الكبيرة مثل الموسيقى ومقاطع الفيديو والصور - فإن فقدان الوصول إلى كل شيء على NAS الخاص بك هو من المحتمل أن تكون كارثية على الأقل مثل فقدان جميع الملفات الموجودة على جميع أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية ، أو ربما أسوأ من ذلك.

نظرًا لأنك ربما تترك جهاز NAS الخاص بك قيد التشغيل طوال الوقت ، يمكن للمحتالين اقتحام المكان متى شاءوا ، بما في ذلك عندما يكون من المرجح أن تكون نائمًا ؛ يحتاجون فقط لمهاجمة جهاز واحد ؛ لا داعي للقلق سواء كنت تستخدم أجهزة كمبيوتر Windows أو Mac ...

... ومن خلال استغلال خطأ غير مصحح في الجهاز نفسه ، لا يحتاجون إلى خداعك أو خداع أي شخص آخر في شبكتك لتنزيل ملف مشبوه أو النقر للوصول إلى موقع ويب مشكوك فيه للحصول على موطئ قدم أولي.

لا يحتاج المحتالون حتى إلى القلق بشأن إرسال رسالة إليك عبر البريد الإلكتروني أو خلفية سطح المكتب: فهم يعيدون كتابة صفحة تسجيل الدخول في واجهة الويب لجهاز NAS الخاص بك ، وبمجرد أن تحاول تسجيل الدخول في المرة التالية ، ربما لمعرفة السبب. تم إفساد جميع ملفاتك ، وستحصل على وجه كبير من الطلب على الابتزاز.

وبشكل أكثر خداعًا ، توصل محتالو DEADBOLT إلى طريقة للتعامل معك تتجنب أي مراسلات بريد إلكتروني (ربما يمكن تتبعها) ، ولا تتطلب خوادم ويب مظلمة (من المحتمل أن تكون معقدة) ، وتتجنب أي مفاوضات: إنها طريقهم ، أو طريق البيانات السريع.

ببساطة ، يحصل كل ضحية على عنوان بيتكوين لمرة واحدة يُطلب منه إرسال 0.03 BTC (حاليًا [2022-10-21] أقل بقليل من 600 دولار):

تعمل المعاملة نفسها كرسالة ("لقد قررت الدفع") وكدفعة بحد ذاتها ("وها هي الأموال").

ثم يرسل لك المحتالون 0 دولارًا في المقابل - وهي معاملة ليس لها غرض مالي ، ولكنها تحتوي على تعليق مكون من 32 حرفًا. (يمكن أن تحتوي معاملات البيتكوين على بيانات إضافية في الحقل المعروف باسم OP_RETURN لا يحول أي أموال ، ولكن يمكن استخدامه لتضمين التعليقات أو الملاحظات.)

هذه الأحرف الـ 32 عبارة عن أرقام سداسية عشرية تمثل مفتاح فك تشفير AES مكون من 16 بايت وهو فريد لجهاز NAS المشفر.

تقوم بلصق الرمز السداسي العشري من معاملة BTC في "صفحة تسجيل الدخول" الخاصة ببرنامج الفدية ، وتطلق العملية برنامج فك تشفير خلفه المحتالون والذي يقوم بفك رموز جميع بياناتك (كما تأمل!).

اتصل بالشرطة!

لكن إليكم تطورًا رائعًا في هذه الحكاية.

ابتكرت الشرطة الهولندية ، بالتعاون مع شركة ذات خبرة في مجال العملات المشفرة ، ملف خدعة متستر خاصة بهم لمواجهة خداع مجرمي DEADBOLT.

لقد لاحظوا أنه إذا أرسل الضحية دفعة Bitcoin لإعادة شراء مفتاح فك التشفير ، فإن المحتالين ردوا على ما يبدو بمفتاح فك التشفير بمجرد أن وصلت معاملة الدفع BTC إلى شبكة Bitcoin بحثًا عن شخص ما "لتعدينها" ...

... بدلاً من الانتظار حتى يقوم أي شخص في نظام Bitcoin البيئي بالإبلاغ عن قيامه بالفعل بالتعدين على المعاملة وبالتالي تأكيدها لأول مرة.

بعبارة أخرى ، لاستخدام القياس ، يتيح لك المحتالون الخروج من متجرهم حاملين المنتج قبل الانتظار حتى يتم الدفع ببطاقتك الائتمانية.

وعلى الرغم من أنه لا يمكنك إلغاء معاملة BTC صراحة ، يمكنك إرسال دفعتين متعارضتين في نفس الوقت (ما يُعرف في المصطلحات باسم "الإنفاق المزدوج") ، طالما أنك سعيد لأن أول دفعة تحصل عليها التي تم انتقاؤها واستخراجها و "تأكيدها" هي تلك التي ستتم الموافقة عليها في نهاية المطاف من خلال blockchain.

سيتم تجاهل المعاملة الأخرى في النهاية ، لأن البيتكوين لا تسمح بالإنفاق المزدوج. (إذا حدث ذلك ، فلن يعمل النظام).

بشكل فضفاض ، بمجرد أن يرى عمال مناجم البيتكوين أن المعاملة التي لم تتم معالجتها بعد تتضمن أموالًا قام شخص آخر "بتعدينها" بالفعل ، فإنهم ببساطة يتوقفون عن العمل في المعاملة غير المكتملة ، على أساس أنها الآن لا قيمة لها بالنسبة لهم.

لا يوجد أي إيثار هنا: بعد كل شيء ، إذا قررت غالبية الشبكة بالفعل قبول المعاملة الأخرى ، واحتضانها في blockchain على أنها "التي يقبلها المجتمع على أنها صالحة" ، فإن المعاملة المتضاربة لم تنته بعد من خلال حتى الآن أسوأ من عديم الفائدة لأغراض التعدين.

إذا واصلت محاولة معالجة المعاملة المتضاربة ، فعندئذٍ حتى إذا نجحت في "إتمامها" بنجاح في النهاية ، فلن يقبل أحد تأكيدك بعد آخر ما بعد ، لأنه لا يوجد شيء فيه للقيام بذلك ...

... لذا فأنت تعلم مقدمًا أنك لن تحصل أبدًا على أي رسوم معاملات أو مكافأة Bitcoin مقابل أعمال التعدين الزائدة عن الحاجة ، وبالتالي فأنت تعلم مقدمًا أنه لا جدوى من إضاعة أي وقت أو كهرباء عليه.

طالما أنه لا يوجد شخص واحد (أو تجمع التعدين ، أو اتحاد تجمعات التعدين) يتحكم في أكثر من 50٪ من شبكة Bitcoin ، فلا ينبغي لأحد أن يكون في وضع يسمح له بالحصول على ما يكفي من الوقت والطاقة لـ "فك تأكيد" قبول بالفعل من خلال إنشاء سلسلة جديدة من التأكيدات التي تفوق كل تلك الموجودة.

تقديم المزيد من المال ...

بالنظر إلى أننا ذكرنا للتو رسوم التحويل، ربما يمكنك أن ترى إلى أين يتجه هذا.

عندما يؤكد المُعدِّن بنجاح معاملة تم قبولها في النهاية على blockchain (في الواقع ، مجموعة من المعاملات) ، يحصل على مكافأة في عملات البيتكوين التي تم سكها حديثًا (حاليًا ، المبلغ هو BTC6.25) ، بالإضافة إلى جميع الرسوم المقدمة لـ كل معاملة في الحزمة.

بعبارة أخرى ، يمكنك تحفيز عمال المناجم على تحديد أولويات معاملتك من خلال عرض دفع رسوم معاملات أكثر قليلاً من أي شخص آخر ...

... أو إذا لم تكن في عجلة من أمرك ، فيمكنك تقديم رسوم معاملات منخفضة والحصول على خدمة أبطأ من مجتمع التعدين.

في الواقع ، إذا كنت لا تهتم حقًا بالوقت الذي تستغرقه ، فيمكنك عرض دفع صفر من عملات البيتكوين كرسوم معاملة.

وهو ما فعله رجال الشرطة الهولنديون مع 155 ضحية من 13 دولة مختلفة طلبوا المساعدة في استعادة بياناتهم.

لقد أرسلوا 155 دفعة من اختيارهم الخاص لعناوين BTC إلى المحتالين ، وكلهم يعرضون دفع رسوم معاملات بقيمة صفر.

قام المحتالون ، على ما يبدو ، بالاعتماد على عملية تلقائية نصية ، وأعادوا على الفور مفاتيح فك التشفير.

بمجرد أن يكون لدى رجال الشرطة كل مفتاح فك تشفير ، أرسلوا على الفور معاملة "مزدوجة الإنفاق" ...

... هذه المرة برسوم مغرية مقابل دفع نفس الأموال التي قدموها في الأصل للمحتالين لأنفسهم بدلاً من ذلك!

خمن المعاملات التي لفتت انتباه عمال المناجم أولاً؟ خمن أي منها تم تأكيده؟ خمن أي المعاملات لم تسفر عن شيء؟

تم إسقاط المدفوعات المقترحة للمجرمين مثل البطاطا الساخنة من قبل مجتمع Bitcoin ، قبل حصل المحتالون على رواتبهم ، ولكن بعد لقد كشفوا عن مفاتيح فك التشفير.

نتيجة لمرة واحدة

أخبار رائعة…

... ما عدا ، بالطبع ، أن هذا الفخ (ليس خدعة إذا تم بشكل قانوني!) لن ينجح مرة أخرى.

لسوء الحظ ، كل ما يتعين على المحتالين فعله في المستقبل هو الانتظار حتى يتمكنوا من رؤية تأكيد مدفوعاتهم قبل الرد باستخدام مفاتيح فك التشفير ، بدلاً من بدء التشغيل فور ظهور كل طلب معاملة.

ومع ذلك ، فإن رجال الشرطة تغلبوا على المحتالين هذه المرة، و 155 شخصًا استعادوا بياناتهم مقابل لا شيء.

أو على الأقل مقابل لا شيء - هناك مسألة صغيرة تتعلق برسوم المعاملات التي كانت ضرورية لجعل الخطة تعمل ، على الرغم من أن أياً من هذه الأموال على الأقل لم يذهب مباشرة إلى المحتالين. (تذهب الرسوم إلى عمال المناجم لكل معاملة.)

قد تكون نتيجة متواضعة نسبيًا ، وقد تكون انتصارًا لمرة واحدة ، لكننا نشيد بها مع ذلك!

---

هل لديك وقت أو خبرة كافية لرعاية الاستجابة لتهديدات الأمن السيبراني؟ هل تشعر بالقلق من أن ينتهي الأمن السيبراني بإلهائك عن كل الأشياء الأخرى التي تحتاج إلى القيام بها؟

معرفة المزيد عن تمكنت Sophos من الكشف والاستجابة:
24/7 مطاردة التهديدات واكتشافها والاستجابة لها  ▶

---