Khi cảnh sát tấn công trở lại: Cảnh sát Hà Lan chạy trốn bọn tội phạm DEADBOLT (hợp pháp!)

Đáng buồn thay, chúng tôi cần phải đề cập đến phần mềm tống tiền DEADBOLT vài lần trước trên Naked Security.

Trong gần hai năm qua, người chơi thích hợp này trong bối cảnh tội phạm mạng ransomware đã chủ yếu săn lùng người dùng gia đình và các doanh nghiệp nhỏ theo một cách rất khác với hầu hết các cuộc tấn công ransomware hiện nay:

Nếu bạn đã tham gia vào lĩnh vực an ninh mạng khoảng mười năm trước, khi ransomware lần đầu tiên bắt đầu trở thành một cỗ máy kiếm tiền khổng lồ cho thế giới mạng, bạn sẽ không nhớ gì đến “những thương hiệu tên tuổi lớn” của ransomware khi đó: cryptolocker, Có khóa, TeslaCrypt, Và nhiều hơn nữa.

Thông thường, những người chơi đầu tiên phạm tội ransomware dựa vào việc yêu cầu các khoản thanh toán tống tiền từ nhiều cá nhân như họ. có thể.

Không giống như những kẻ lừa đảo ransomware ở các giải đấu lớn hiện nay, những kẻ mà bạn có thể tóm tắt là "Nhằm mục đích tống tiền các công ty hàng triệu đô la hàng trăm lần", những người chơi ban đầu đã đi theo hướng quan tâm đến người tiêu dùng hơn là “Tống tiền hàng triệu người với giá 300 đô la mỗi người” (hoặc 600 đô la hoặc 1000 đô la - số tiền khác nhau).

Ý tưởng rất đơn giản: bằng cách xáo trộn các tệp của bạn ngay tại đó trên máy tính xách tay của chính bạn, kẻ gian không cần phải lo lắng về băng thông tải lên internet và cố gắng lấy cắp tất cả các tệp của bạn để chúng có thể bán lại cho bạn sau này.

Họ có thể để tất cả các tệp của bạn ở ngay trước mặt bạn, rõ ràng là trong tầm nhìn rõ ràng, nhưng hoàn toàn không sử dụng được.

Ví dụ: nếu bạn cố gắng mở một tài liệu xáo trộn bằng trình xử lý văn bản của mình, bạn sẽ thấy các trang vô dụng chứa đầy bắp cải cắt nhỏ kỹ thuật số hoặc một thông báo bật lên xin lỗi rằng ứng dụng không nhận dạng được loại tệp và không thể mở được nó ở tất cả.

Máy tính hoạt động, dữ liệu không

Thông thường, kẻ gian sẽ cố gắng giữ nguyên hệ điều hành và các ứng dụng của bạn, thay vào đó tập trung vào dữ liệu của bạn.

Họ thực sự không muốn máy tính của bạn ngừng hoạt động hoàn toàn, vì một số lý do quan trọng.

Thứ nhất, họ muốn bạn nhìn thấy và cảm thấy đau đớn về những tập tin quý giá của bạn gần như nhưng lại rất xa: ảnh cưới, video em bé, tờ khai thuế, bài tập trong khóa học đại học, các khoản phải thu, khoản phải trả và tất cả các dữ liệu kỹ thuật số khác mà bạn đã có ý định sao lưu trong nhiều tháng nhưng vẫn chưa hoàn thành.

Thứ hai, họ muốn bạn xem thư tống tiền mà họ đã để lại TRONG CÁC CHỮ LỚN CÓ HÌNH ẢNH ẢNH HƯỞNG, được cài đặt làm hình nền máy tính của bạn để bạn không thể bỏ lỡ nó, hoàn chỉnh với hướng dẫn về cách lấy tiền điện tử mà bạn cần mua lại chìa khóa giải mã để giải mã dữ liệu của bạn.

Thứ ba, họ muốn đảm bảo rằng bạn vẫn có thể trực tuyến trong trình duyệt của mình, trước tiên hãy tiến hành một cuộc tìm kiếm vô ích để tìm “cách khôi phục từ ransomware XYZ mà không phải trả tiền”, và sau đó, khi thất vọng và tuyệt vọng bắt đầu, để có được một người bạn bạn biết có thể giúp bạn với phần tiền điện tử của chiến dịch giải cứu.

Thật không may, những người chơi đầu tiên trong âm mưu tội phạm khủng khiếp này, đặc biệt là băng đảng CryptoLocker, hóa ra lại khá đáng tin cậy trong việc trả lời nhanh chóng và chính xác cho những nạn nhân đã trả tiền, mang lại danh tiếng “danh dự trong số những tên trộm”.

Điều này dường như thuyết phục những nạn nhân mới rằng, vì tất cả những gì đã trả sẽ đốt cháy một lỗ hổng khổng lồ trong tài chính của họ trong tương lai gần, và nó giống như làm một giao dịch với ma quỷ, rất có thể sẽ lấy lại được dữ liệu của họ.

Ngược lại, các cuộc tấn công ransomware hiện đại thường nhằm đặt tất cả các máy tính trong toàn bộ công ty (hoặc trường học, bệnh viện, hoặc thành phố hoặc tổ chức từ thiện) tại chỗ cùng một lúc. Nhưng việc tạo ra các công cụ giải mã hoạt động đáng tin cậy trên toàn bộ mạng là một nhiệm vụ kỹ thuật phần mềm khó khăn một cách đáng ngạc nhiên. Trên thực tế, lấy lại dữ liệu của bạn bằng cách dựa vào kẻ gian là một công việc kinh doanh rủi ro. bên trong Khảo sát về mã độc mã độc Sophos năm 2021, 1/2 số nạn nhân đã trả tiền bị mất ít nhất 1/3 dữ liệu của họ và 4% trong số họ không nhận lại được gì. trong 2022, chúng tôi nhận thấy rằng điểm nửa chừng thậm chí còn tồi tệ hơn, với 1/2 trong số những người đã trả tiền bị mất 40% dữ liệu trở lên và chỉ 4% trong số họ lấy lại được tất cả dữ liệu. Trong khét tiếng Đường ống thuộc địa cuộc tấn công ransomware, công ty cho biết họ sẽ không trả nhiều tiền, sau đó nổi tiếng là bị chia hơn 4,400,000 đô la, chỉ để thấy rằng công cụ giải mã mà bọn tội phạm cung cấp quá chậm để có thể sử dụng. Vì vậy, họ đã phải chịu tất cả các chi phí khôi phục mà họ sẽ có nếu họ không trả tiền cho kẻ gian, cộng với khoản tiền gửi đi 4.4 triệu đô la tốt như xả xuống cống. (Thật đáng kinh ngạc, và rõ ràng là do hoạt động kém an ninh mạng của bọn tội phạm, FBI cuối cùng đã phục hồi khoảng 85% bitcoin được Colonial thanh toán. Tuy nhiên, đừng dựa vào loại kết quả đó: những lần vuốt ngược quy mô lớn như vậy là một ngoại lệ hiếm hoi, không phải là quy luật.)

Một ngách sinh lợi

Có vẻ như những kẻ lừa đảo DEADBOLT đã tìm thấy một thích hợp sinh lợi của riêng họ, nhờ đó họ không cần phải xâm nhập vào mạng của bạn và làm việc theo cách của họ trên tất cả các máy tính trên đó và thậm chí họ không cần phải lo lắng về việc lén lấy phần mềm độc hại vào máy tính xách tay của bạn hoặc bất kỳ máy tính thông thường nào trong hộ gia đình, văn phòng hoặc cả hai.

Thay vào đó, họ sử dụng tính năng quét mạng toàn cầu để xác định các thiết bị NAS chưa được vá (lưu trữ gắn mạng), thường là những thứ từ nhà cung cấp lớn QNAP và trực tiếp xáo trộn mọi thứ trên thiết bị máy chủ tệp của bạn mà không cần chạm vào bất kỳ thứ gì khác trên mạng của bạn.

Ý tưởng là nếu bạn đang sử dụng NAS của mình như hầu hết mọi người làm ở nhà hoặc trong một doanh nghiệp nhỏ - để sao lưu và làm bộ nhớ chính cho các tệp lớn như nhạc, video và hình ảnh - thì việc mất quyền truy cập vào mọi thứ trên NAS của bạn là có khả năng ít nhất là thảm khốc như mất tất cả các tệp trên tất cả máy tính xách tay và máy tính để bàn của bạn, hoặc thậm chí có thể tồi tệ hơn.

Bởi vì bạn có thể để thiết bị NAS của mình được bật mọi lúc, kẻ gian có thể đột nhập bất cứ khi nào chúng thích, kể cả khi bạn có nhiều khả năng đang ngủ; họ chỉ cần tấn công một thiết bị; họ không cần lo lắng cho dù bạn đang sử dụng máy tính Windows hay Mac…

… Và bằng cách khai thác một lỗi chưa được vá trong chính thiết bị, họ không cần lừa bạn hoặc bất kỳ ai khác trong mạng của bạn tải xuống một tệp đáng ngờ hoặc nhấp qua một trang web đáng ngờ để có được chỗ đứng ban đầu.

Kẻ gian thậm chí không cần lo lắng về việc nhận được tin nhắn cho bạn qua email hoặc hình nền máy tính của bạn: chúng cố tình viết lại trang đăng nhập trong giao diện web của thiết bị NAS của bạn, vì vậy ngay sau khi bạn cố gắng đăng nhập, có lẽ để tìm hiểu lý do tất cả các tệp của bạn bị lộn xộn, bạn nhận được rất nhiều nhu cầu tống tiền.

Thậm chí lén lút hơn, những kẻ lừa đảo DEADBOLT đã tìm ra cách để đối phó với bạn là tránh bất kỳ thư từ email nào (có thể theo dõi), không yêu cầu máy chủ web tối (có thể phức tạp) và bỏ qua bất kỳ cuộc thương lượng nào: đó là cách của họ, hoặc đường cao tốc dữ liệu.

Nói một cách đơn giản, mỗi nạn nhân sẽ được cung cấp một địa chỉ Bitcoin duy nhất mà họ được yêu cầu gửi BTC 0.03 (hiện tại [2022-10-21] chỉ dưới 600 đô la):

Bản thân giao dịch vừa đóng vai trò như một thông điệp (“Tôi đã quyết định trả tiền”) và chính là khoản thanh toán (“và đây là số tiền”).

Sau đó, những kẻ lừa đảo sẽ gửi lại cho bạn $ 0 - một giao dịch không có mục đích tài chính, nhưng có một bình luận dài 32 ký tự. (Các giao dịch bitcoin có thể chứa dữ liệu bổ sung trong trường được gọi là OP_RETURN không chuyển bất kỳ khoản tiền nào, nhưng có thể được sử dụng để bao gồm các nhận xét hoặc ghi chú.)

32 ký tự đó là các chữ số thập lục phân đại diện cho khóa giải mã AES 16 byte duy nhất cho thiết bị NAS bị xáo trộn của bạn.

Bạn dán mã thập lục phân từ giao dịch BTC vào “trang đăng nhập” của ransomware và quá trình này sẽ kích hoạt một chương trình giải mã do kẻ gian bỏ lại để giải mã (bạn hy vọng!) Tất cả dữ liệu của bạn.

Gọi cảnh sát!

Nhưng đây là một bước ngoặt hấp dẫn cho câu chuyện này.

Cảnh sát Hà Lan, làm việc cùng với một công ty có chuyên môn về tiền điện tử, đã đưa ra thủ thuật lén lút của riêng họ để chống lại sự lén lút của bọn tội phạm DEADBOLT.

Họ nhận thấy rằng nếu nạn nhân gửi một khoản thanh toán Bitcoin để mua lại khóa giải mã, kẻ gian dường như đã trả lời bằng khóa giải mã ngay sau khi giao dịch thanh toán BTC chạm vào mạng Bitcoin để tìm kiếm ai đó “khai thác” nó…

… Thay vì đợi cho đến khi bất kỳ ai trong hệ sinh thái Bitcoin báo cáo rằng họ đã thực sự khai thác giao dịch và do đó xác nhận nó lần đầu tiên.

Nói cách khác, để sử dụng một phép loại suy, kẻ gian cho phép bạn bước ra khỏi cửa hàng của chúng với sản phẩm trước khi đợi thanh toán bằng thẻ tín dụng của bạn được thực hiện.

Và mặc dù bạn không thể hủy giao dịch BTC một cách rõ ràng, nhưng bạn có thể gửi hai khoản thanh toán xung đột cùng một lúc (điều được gọi trong biệt ngữ là “chi tiêu gấp đôi”), miễn là bạn hài lòng là người đầu tiên nhận được nhặt, khai thác và “xác nhận” là quá trình sẽ trải qua và cuối cùng được blockchain chấp nhận.

Giao dịch khác cuối cùng sẽ bị loại bỏ, vì Bitcoin không cho phép chi tiêu gấp đôi. (Nếu nó xảy ra, hệ thống không thể hoạt động.)

Nói một cách dễ hiểu, một khi các thợ đào Bitcoin thấy rằng một giao dịch chưa được xử lý liên quan đến các khoản tiền mà người khác đã “khai thác”, họ chỉ cần ngừng làm việc với giao dịch chưa hoàn thành, với lý do giờ đây nó vô giá trị đối với họ.

Không có lòng vị tha nào liên quan ở đây: sau tất cả, nếu phần lớn mạng đã quyết định chấp nhận giao dịch khác và đưa nó vào chuỗi khối với tư cách là “giao dịch mà cộng đồng chấp nhận là hợp lệ”, thì giao dịch xung đột đã không biến mất còn tệ hơn là vô dụng cho các mục đích khai thác.

Nếu bạn tiếp tục cố gắng xử lý giao dịch xung đột, thì ngay cả khi cuối cùng bạn “khai thác” nó thành công, sẽ không ai chấp nhận xác nhận quá khứ thứ hai của bạn, bởi vì họ không có gì để làm như vậy…

… Vì vậy bạn biết trước rằng bạn sẽ không bao giờ nhận được bất kỳ khoản phí giao dịch hoặc tiền thưởng Bitcoin nào cho công việc khai thác dư thừa của mình, và do đó bạn biết trước rằng không có ích gì khi lãng phí bất kỳ thời gian hoặc điện năng nào vào việc đó.

Miễn là không có ai (hoặc nhóm khai thác, hoặc nhóm các nhóm khai thác) kiểm soát hơn 50% mạng Bitcoin, thì không ai có thể có đủ thời gian và năng lượng để "giải mã" một tài khoản đã được chấp nhận giao dịch bằng cách tạo một chuỗi xác nhận mới vượt xa tất cả những xác nhận hiện có.

Cung cấp nhiều tiền hơn…

Cho rằng chúng tôi vừa đề cập phí giao dịch, bạn có thể thấy điều này sẽ đi đến đâu.

Khi một người khai thác xác nhận thành công một giao dịch cuối cùng được chấp nhận trên blockchain (thực tế là một gói giao dịch), họ sẽ nhận được phần thưởng bằng bitcoin mới được khai thác (hiện tại, số tiền là 6.25 BTC), cộng với tất cả các khoản phí được cung cấp cho mỗi giao dịch trong gói.

Nói cách khác, bạn có thể khuyến khích các thợ đào ưu tiên giao dịch của mình bằng cách đề nghị trả phí giao dịch cao hơn một chút so với những người khác…

… Hoặc nếu bạn không vội, bạn có thể đưa ra mức phí giao dịch thấp và nhận được dịch vụ chậm hơn từ cộng đồng khai thác.

Trên thực tế, nếu bạn thực sự không quan tâm đến việc mất bao lâu, bạn có thể đề nghị trả bitcoin bằng XNUMX như một khoản phí giao dịch.

Đó là những gì mà cảnh sát Hà Lan đã làm đối với 155 nạn nhân từ 13 quốc gia khác nhau, những người đã yêu cầu giúp đỡ để lấy lại dữ liệu của họ.

Họ đã gửi 155 khoản thanh toán từ việc lựa chọn địa chỉ BTC của riêng họ cho kẻ gian, tất cả đều đề nghị trả phí giao dịch bằng XNUMX.

Những kẻ gian, dường như dựa vào một quy trình tự động, có kịch bản, ngay lập tức gửi lại các khóa giải mã.

Khi cảnh sát có mỗi khóa giải mã, họ ngay lập tức gửi một giao dịch “chi tiêu gấp đôi”…

… Lần này với một khoản phí hấp dẫn được đưa ra để đổi lại việc trả chính số tiền mà họ đã cung cấp cho những kẻ lừa đảo trở lại chính họ!

Đoán xem giao dịch nào thu hút sự chú ý của các thợ đào đầu tiên? Đoán xem cái nào đã được xác nhận? Đoán xem giao dịch nào không thành công?

Các khoản thanh toán được đề xuất cho bọn tội phạm đã bị cộng đồng Bitcoin giảm như lẩu thập cẩm, trước kẻ gian đã được trả tiền, nhưng sau khi họ đã tiết lộ các khóa giải mã.

Kết quả một lần

Tin tốt…

… Ngoại trừ, tất nhiên, cái bẫy này (nó không phải là một trò lừa nếu nó được thực hiện hợp pháp!) Sẽ không hoạt động trở lại.

Thật không may, tất cả những gì kẻ gian phải làm trong tương lai là đợi cho đến khi họ có thể thấy các khoản thanh toán của mình được xác nhận trước khi trả lời bằng các khóa giải mã, thay vì kích hoạt ngay lập tức khi xuất hiện lần đầu tiên của mỗi yêu cầu giao dịch.

Tuy nhiên, cảnh sát vượt trội hơn những kẻ lừa đảo lần nàyvà 155 người đã lấy lại dữ liệu của họ mà không có gì.

Hoặc ít nhất là gần như không có gì - có một vấn đề nhỏ là phí giao dịch cần thiết để thực hiện kế hoạch, mặc dù ít nhất là không có khoản tiền nào trong số đó trực tiếp đến tay kẻ gian. (Phí sẽ được chuyển cho thợ đào của mỗi giao dịch.)

Nó có thể là một kết quả tương đối khiêm tốn, và nó có thể là một chiến thắng một lần duy nhất, nhưng chúng tôi vẫn khen ngợi nó!

---

Thiếu thời gian hoặc chuyên môn để xử lý các mối đe dọa an ninh mạng? Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung khỏi tất cả những việc khác mà bạn cần làm?

Tìm hiểu thêm về Phản hồi và phát hiện được quản lý của Sophos:
Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7  ▶

---