כאשר שוטרים פורצים בחזרה: המשטרה ההולנדית מסירה פושעי DEADBOLT (באופן חוקי!)

למרבה הצער, היינו צריכים לכסות את תוכנת כופר של DEADBOLT מספר פעמים לפני על אבטחה עירומה.

כבר כמעט שנתיים, שחקן הנישה הזה בסצנת פשעי הסייבר של תוכנות הכופר טורף בעיקר משתמשים ביתיים ועסקים קטנים בצורה שונה מאוד מרוב התקפות תוכנות הכופר העכשוויות:

אם הייתם מעורבים באבטחת סייבר לפני כעשר שנים, כאשר תוכנות הכופר התחילו להפוך למגלגלת כסף עצומה עבור העולם התחתון של הסייבר, תזכרו ללא חיבה בכלל את "מותגי השם הגדולים" של תוכנות הכופר אז: מחסום הצפנה, Locky, TeslaCrypt, ועוד רבים.

בדרך כלל, השחקנים המוקדמים בפשע של תוכנות כופר הסתמכו על דרישה כמעט-במחיר-סביר-אם-דילגת-לצאת-לפאב-לחודש או-שלושה תשלומי סחיטה מכמה אנשים. הָיָה יָכוֹל.

בניגוד לנוכלי הכופר של היום מהליגה הגדולה, שאפשר לסכם בתור "שואף לסחוט חברות עבור מיליוני דולרים מאות פעמים", השחקנים המוקדמים עברו מסלול צרכני יותר של "סחוט מיליוני אנשים תמורת 300 דולר כל אחד" (או $600, או $1000 - הסכומים השתנו).

הרעיון היה פשוט: על ידי ערבול הקבצים שלך שם על המחשב הנייד שלך, הנוכלים לא היו צריכים לדאוג לגבי רוחב הפס של העלאת האינטרנט ולנסות לגנוב את כל הקבצים שלך כדי שיוכלו למכור אותם בחזרה לך מאוחר יותר.

הם עלולים להשאיר את כל הקבצים שלך יושבים מולך, ככל הנראה לעין, אך עדיין בלתי שמישים לחלוטין.

אם ניסיתם לפתוח מסמך מקושקש עם מעבד התמלילים שלכם, למשל, הייתם רואים דפים חסרי תועלת מלאים בכרוב מגורר דיגיטלי, או הודעה קופצת שמתנצלת על כך שהאפליקציה לא מזהה את סוג הקובץ ואינה יכולה לפתוח זה הכל.

המחשב עובד, הנתונים לא

בדרך כלל, הנוכלים היו יוצאים מגדרם כדי להשאיר את מערכת ההפעלה והאפליקציות שלך ללא פגע, תוך התמקדות בנתונים שלך במקום זאת.

הם בעצם לא רצו שהמחשב שלך יפסיק לעבוד לחלוטין, מכמה סיבות חשובות.

ראשית, הם רצו שתראו ותרגישו את הכאב של כמה קרובים אך עם זאת כל כך רחוקים היו הקבצים היקרים שלכם: תמונות החתונה שלכם, סרטוני תינוקות, החזרי מס, עבודה בקורסים באוניברסיטה, חשבונות חייבים, חשבונות לתשלום וכל שאר הנתונים הדיגיטליים שלכם. התכוונו לגבות כבר חודשים אבל עדיין לא ממש הגעתי לזה.

שנית, הם רצו שתראה את פתק הסחיטה שהם השאירו באותיות ענקיות עם תמונות דרמטיות, מותקן כטפט שולחן העבודה שלך כך שלא תוכל לפספס אותו, עם הוראות כיצד לרכוש את מטבעות ההצפנה שתצטרך לקנות בחזרה מפתח הפענוח כדי לבטל את ערבול הנתונים שלך.

שלישית, הם רצו לוודא שאתה עדיין יכול להיכנס לאינטרנט בדפדפן שלך, תחילה כדי לבצע חיפוש חסר תוחלת אחר "איך להתאושש מתוכנת כופר XYZ מבלי לשלם", ולאחר מכן, כשהיאוש והייאוש נכנסו, להשיג חבר ידעת שיכול לעזור לך בחלק הקריפטוגרפי של מבצע החילוץ.

לרוע המזל, השחקנים המוקדמים בעלילה הפלילית הנתעבת הזו, בעיקר חבורת CryptoLocker, התגלו כאמינים למדי בתשובה מהירה ומדויקת לקורבנות ששילמו, וזכו למוניטין של "כבוד בין הגנבים".

נראה היה שזה משכנע קורבנות חדשים שלמרות כל התשלום הזה שרף חור ענק בכספים שלהם לעתיד הקרוב, ושזה קצת כמו לעשות עסקה עם השטן, סביר להניח שזה יחזיר את הנתונים שלהם.

מתקפות כופר מודרניות, לעומת זאת, מטרתן בדרך כלל לשים את כל המחשבים בחברות שלמות (או בתי ספר, או בתי חולים, או עיריות, או ארגוני צדקה) בו-זמנית. אבל יצירת כלי פענוח שעובדים בצורה מהימנה על פני רשת שלמה היא משימה קשה להפתיע בהנדסת תוכנה. למעשה, החזרת הנתונים שלך על ידי הסתמכות על הנוכלים היא עסק מסוכן. בתוך ה סקר Sophos Ransomware 2021, 1/2 מהקורבנות ששילמו איבדו לפחות 1/3 מהנתונים שלהם, ו-4% מהם לא קיבלו כלום בחזרה. ב 2022, מצאנו שגילינו שנקודת המחצית הייתה גרועה עוד יותר, כאשר 1/2 מאלה ששילמו איבדו 40% או יותר מהנתונים שלהם, ורק 4% מהם קיבלו את כל הנתונים שלהם בחזרה. בשמצה צינור קולוניאלי מתקפת תוכנת כופר, החברה אמרה שהיא לא מתכוונת לשלם, ואז כידוע הוציאה מעל 4,400,000 דולר בכל מקרה, רק כדי לגלות שכלי הפענוח שהפושעים סיפקו היה איטי מדי כדי להועיל. אז בסופו של דבר הם קיבלו את כל עלויות ההבראה שהיו להם אם לא היו משלמים לנוכלים, בתוספת סכום של 4.4 מיליון דולר שהוצא לטמיון. (למרבה הפלא, וככל הנראה בשל אבטחת סייבר מבצעית לקויה של הפושעים, ה-FBI בסופו של דבר התאושש כ-85% מהביטקוין ששולמה על ידי קולוניאל. עם זאת, אל תסתמך על תוצאות מסוג זה: תקלות כה גדולות הן חריג נדיר, לא הכלל.)

נישה רווחית

נוכלי DEADBOLT, כך נראה, מצאו א נישה רווחית משלהם, לפיהם הם לא צריכים לפרוץ לרשת שלך ולעשות את דרכם אל כל המחשבים שעליה, והם אפילו לא צריכים לדאוג להגניב תוכנות זדוניות למחשב הנייד שלך, או לכל אחד מהמחשבים הרגילים שלך משק בית, משרד או שניהם.

במקום זאת, הם משתמשים בסריקות רשת גלובליות כדי לזהות מכשירי NAS לא מתוקנים (אחסון צמוד רשת), בדרך כלל אלה של הספק הגדול QNAP, ומערבבים ישירות הכל במכשיר שרת הקבצים שלך, מבלי לגעת בכל דבר אחר ברשת שלך.

הרעיון הוא שאם אתה משתמש ב-NAS שלך כמו שרוב האנשים עושים בבית או בעסק קטן - עבור גיבויים, וכאחסון ראשי עבור קבצים גדולים כגון מוזיקה, סרטונים ותמונות - אז איבוד גישה לכל דבר ב-NAS שלך צפוי להיות קטסטרופלי לפחות כמו איבוד כל הקבצים בכל המחשבים הניידים והשולחניים שלך, או אולי אפילו יותר גרוע.

מכיוון שאתה כנראה משאיר את מכשיר ה-NAS שלך מופעל כל הזמן, הנוכלים יכולים לפרוץ מתי שהם רוצים, כולל כאשר סביר להניח שאתה ישן; הם צריכים רק לתקוף מכשיר אחד; הם לא צריכים לדאוג אם אתה משתמש במחשבי Windows או Mac...

...ועל ידי ניצול באג שלא תוקן במכשיר עצמו, הם לא צריכים להערים עליך או מישהו אחר ברשת שלך להוריד קובץ חשוד או ללחוץ לאתר מפוקפק כדי לקבל דריסת רגל ראשונית.

הנוכלים אפילו לא צריכים לדאוג לגבי קבלת הודעה אליך בדוא"ל או בטפט שולחן העבודה שלך: הם כותבים מחדש בערמומיות את דף הכניסה בממשק האינטרנט של מכשיר ה-NAS שלך, כך שברגע שתנסה בפעם הבאה להתחבר, אולי כדי לברר מדוע כל הקבצים שלך מבולגנים, אתה מקבל פנים של ביקוש לסחיטה.

באופן ערמומי עוד יותר, נוכלי DEADBOLT מצאו דרך להתמודד איתך שנמנעת מכל תכתובת דוא"ל (אפשר לעקוב), אינה דורשת שרתי אינטרנט אפלים (עלולים להיות מסובכים), ועוקפת כל משא ומתן: זו הדרך שלהם, או כביש הנתונים המהיר.

במילים פשוטות, לכל קורבן מוצגת כתובת ביטקוין חד פעמית שאליה נאמר לו לשלוח BTC 0.03 (כרגע [2022-10-21] קצת פחות מ-$600):

העסקה עצמה פועלת הן כהודעה ("החלטתי לשלם"), והן כתשלום עצמו ("והנה הכספים").

לאחר מכן הנוכלים שולחים לך 0$ בתמורה - עסקה שאין לה מטרה פיננסית, אבל מכילה הערה של 32 תווים. (עסקאות ביטקוין יכולות להכיל נתונים נוספים בשדה המכונה OP_RETURN שאינו מעביר כספים, אך ניתן להשתמש בו כדי לכלול הערות או הערות.)

32 התווים הללו הם ספרות הקסדצימליות המייצגות מפתח פענוח AES של 16 בתים שייחודי למכשיר ה-NAS המקושקש שלך.

אתה מדביק את הקוד ההקסדצימלי מעסקת BTC לתוך "דף הכניסה" של תוכנת הכופר, והתהליך מפעיל תוכנית פענוח שהותירו מאחור הנוכלים שמבטלת (אתה מקווה!) את כל הנתונים שלך.

תתקשר למשטרה!

אבל הנה טוויסט מרתק לסיפור הזה.

המשטרה ההולנדית, שעבדה יחד עם חברה בעלת מומחיות במטבעות קריפטוגרפיים, המציאה א טריק ערמומי משלהם כדי לנטרל את ההתגנבות של פושעי DEADBOLT.

הם שמו לב שאם קורבן שלח תשלום ביטקוין כדי לקנות בחזרה את מפתח הפענוח, הנוכלים ככל הנראה ענו עם מפתח הפענוח ברגע שעסקת התשלום של BTC פגעה ברשת הביטקוין בחיפוש אחר מישהו ש"יכרה" אותו...

במקום לחכות עד שמישהו במערכת האקולוגית של הביטקוין דיווח שהם באמת כרעו את העסקה ובכך אישרו אותה בפעם הראשונה.

במילים אחרות, אם להשתמש באנלוגיה, הנוכלים נתנו לך לצאת מהחנות שלהם עם המוצר לפני שהמתינו לתשלום בכרטיס האשראי שלך.

ולמרות שאינך יכול לבטל במפורש עסקת BTC, אתה יכול לשלוח שני תשלומים סותרים בו-זמנית (מה שמכונה בעגה "הוצאה כפולה"), כל עוד אתה שמח שהראשון לקבל נאסף, נכרה ו"אושר" הוא זה שיעבור ובסופו של דבר יתקבל על ידי הבלוקצ'יין.

העסקה האחרת תימחק בסופו של דבר, מכיוון שהביטקוין לא מאפשר הוצאה כפולה. (אם כן, המערכת לא יכלה לעבוד.)

באופן רופף, ברגע שכורי ביטקוין רואים שעסקה שטרם מעובדת כוללת כספים שמישהו אחר כבר "כרה", הם פשוט מפסיקים לעבוד על העסקה הלא גמורה, בטענה שהיא חסרת ערך עבורם כעת.

אין כאן שום אלטרואיזם מעורב: אחרי הכל, אם רוב הרשת כבר החליטה לקבל את העסקה האחרת, ולאמץ אותה לתוך הבלוקצ'יין כ"זו שהקהילה מקבלת כתקינה", העסקה הסותרת שלא הלכה דרך עדיין גרוע מחסר תועלת למטרות כרייה.

אם תמשיך לנסות לעבד את העסקה הסותרת, אז גם אם תצליח "לכרות" אותה בסופו של דבר, אף אחד לא יקבל את האישור שלך אחרי הפוסט, כי אין שום דבר שיעשה זאת...

...אז אתה יודע מראש שלעולם לא תקבל עמלות עסקה או בונוס ביטקוין עבור עבודת הכרייה המיותרת שלך, וכך אתה יודע מראש שאין טעם לבזבז על זה זמן או חשמל.

כל עוד איש אחד (או מאגר כרייה, או קרטל של בריכות כרייה) לא שולט אי פעם ביותר מ-50% מרשת הביטקוין, אף אחד לא צריך להיות בעמדה לפקד על מספיק זמן ואנרגיה כדי "לבטל את האישור" כבר מקובל עסקה על ידי יצירת שרשרת אישורים חדשה העולה על כל הקיימים.

להציע יותר כסף...

בהתחשב בזה שהזכרנו זה עתה דמי העסקה, אתה כנראה יכול לראות לאן זה הולך.

כאשר כורה מאשר בהצלחה עסקה שבסופו של דבר מתקבלת לבלוקצ'יין (למעשה, חבילת עסקאות), הוא מקבל תגמול בביטקוין שנטבעו לאחרונה (כרגע, הסכום הוא BTC6.25), בתוספת כל העמלות המוצעות עבור כל עסקה בחבילה.

במילים אחרות, אתה יכול לתמרץ כורים לתעדף את העסקה שלך על ידי הצעה לשלם קצת יותר בעמלות עסקה מכולם...

...או אם אינך ממהר, תוכל להציע עמלת עסקה נמוכה ולקבל שירות איטי יותר מקהילת הכורים.

למעשה, אם באמת לא אכפת לך כמה זמן זה ייקח, אתה יכול להציע לשלם אפס ביטקוין כעמלת עסקה.

וזה מה שהשוטרים ההולנדים עשו עבור 155 קורבנות מ-13 מדינות שונות שביקשו עזרה בהחזרת הנתונים שלהם.

הם שלחו 155 תשלומים ממבחר כתובות BTC שלהם לנוכלים, כולם הציעו לשלם עמלות עסקה של אפס.

הנוכלים, ככל הנראה מסתמכים על תהליך תסריטאי אוטומטי, שלחו מיד בחזרה את מפתחות הפענוח.

ברגע שלשוטרים היה כל מפתח פענוח, הם שלחו מיד עסקת "הוצאה כפולה"...

…הפעם בתשלום מפתה המוצע בתמורה לתשלום אותם כספים שהם הציעו במקור לנוכלים בחזרה לעצמם במקום זאת!

נחשו אילו עסקאות משכו את תשומת הלב של הכורים קודם? נחשו אילו מהם אושרו? נחשו אילו עסקאות לא עלו על כלום?

התשלומים המוצעים לעבריינים ירדו כמו תפוחי אדמה לוהטים על ידי קהילת הביטקוין, לפני הנוכלים קיבלו תשלום, אבל לאחר הם חשפו את מפתחות הפענוח.

תוצאה חד פעמית

חדשות טובות…

... מלבד, כמובן, שהמלכודת הזו (זה לא טריק אם זה נעשה כחוק!) לא תעבוד שוב.

למרבה הצער, כל מה שהנוכלים צריכים לעשות בעתיד הוא לחכות עד שהם יכולים לראות שהתשלומים שלהם מאושרים לפני שהם עונים עם מפתחות הפענוח, במקום להפעיל מיד בהופעה הראשונה של כל בקשת עסקה.

למרות זאת, השוטרים העלה את הנוכלים הפעם, ו-155 אנשים קיבלו בחזרה את הנתונים שלהם ללא תמורה.

או לפחות כמעט כלום - יש את העניין הקטן של עמלות העסקה שהיו נחוצות כדי שהתוכנית תעבוד, אם כי לפחות אף אחד מהכסף הזה לא הלך ישירות לנוכלים. (העמלות עוברות לכורים של כל עסקה.)

ייתכן שזו תוצאה צנועה יחסית, וייתכן שזהו ניצחון חד פעמי, אבל בכל זאת אנו משבחים אותה!

---

חסר לך זמן או מומחיות לטפל בתגובה לאיומי אבטחת סייבר? חוששים שאבטחת סייבר תסיח את דעתך מכל שאר הדברים שאתה צריך לעשות?

למידע נוסף בנושא Sophos Managed Detection and Response:
ציד, איתור ותגובה של איומים 24/7  ▶

---