Polisi Nasional Belanda telah mengganggu grup ransomware Deadbolt, memulihkan kunci dekripsi dari 90% korban yang menghubungi polisi, menurut laporan Chainalysis.
Sejak 2021, Deadbolt telah memangsa bisnis kecil dan terkadang perorangan, menuntut uang tebusan yang lebih kecil yang dapat bertambah dengan cepat. Pada tahun 2022, Deadbolt berhasil mengumpulkan lebih dari $2.3 juta dari sekitar 5,000 korban. Pembayaran tebusan rata-rata adalah $476 — jauh lebih rendah daripada rata-rata di semua penipuan ransomware, yang mencapai lebih dari $70,000.
Pengembang Deadbolt merancang cara unik untuk mengirimkan kunci dekripsi kepada korban. Hal ini memungkinkan untuk menargetkan begitu banyak — dan seperti yang ditemukan oleh polisi Belanda, pada akhirnya akan menjadi kejatuhan kelompok tersebut.
Seperti dilansir Chainalysis, Deadbolt mengeksploitasi kelemahan keamanan pada perangkat penyimpanan yang diserang jaringan yang dibuat oleh QNAP. Setelah perangkat korban terinfeksi, sebuah pesan sederhana menginstruksikan mereka untuk mengirim bitcoin dalam jumlah tertentu ke alamat dompet.
Deadbolt secara otomatis mengirimkan kunci dekripsi kepada korban setelah korban membayar dengan mengirimkan sejumlah kecil bitcoin ke alamat tebusan dengan kunci dekripsi tertulis di bidang OP_RETURN. Chainalysis percaya bahwa pengembang memiliki transaksi yang telah diprogram sebelumnya untuk mengirim 0.0000546 BTC (sekitar $1) ke alamat dompetnya sendiri setiap kali korban membayar, sehingga dana tersedia untuk mengomunikasikan kunci dekripsi.
Polisi Belanda mengelabui sistem Deadbolt
Cara yang agak canggih inilah yang membuat Polisi Nasional Belanda mengacaukan Deadbolt. Penyelidik menyadari bahwa mereka dapat mengelabui sistem untuk mengembalikan kunci dekripsi ke ratusan korban — memungkinkan mereka memulihkan data tanpa benar-benar menghabiskan uang tebusan.
“Melihat transaksi di Chainalysis, kami melihat bahwa dalam beberapa kasus, Deadbolt memberikan kunci dekripsi sebelum pembayaran korban benar-benar dikonfirmasi di blockchain,” kata seorang penyelidik kepada Chainalysis.
Ini berarti ada waktu sekitar 10 menit — sementara transaksi yang belum dikonfirmasi menunggu di mempool Bitcoin — untuk mengelabui sistem.
“Seorang korban dapat mengirim pembayaran ke Deadbolt, menunggu Deadbolt mengirim kunci dekripsi, dan kemudian menggunakan penggantian biaya untuk mengubah transaksi yang tertunda, dan meminta pembayaran ransomware kembali ke korban,” kata penyelidik.
Namun, polisi Belanda menghadapi satu masalah - kemungkinan besar mereka hanya memiliki satu tembakan sebelum Deadbolt menyadari apa yang sedang terjadi. Jadi, bersama Interpol, penyelidik menggeledah laporan polisi dari seluruh negeri dan lainnya untuk mengidentifikasi sebanyak mungkin korban yang belum membayar uang tebusan.
Baca lebih lanjut: Coinbase tidak setuju dengan denda hampir $4 juta dari bank sentral Belanda
“Kami menulis skrip untuk mengirim transaksi secara otomatis ke Deadbolt, menunggu transaksi lain dengan kunci dekripsi sebagai imbalannya, dan menggunakan RBF pada transaksi pembayaran kami. Karena kami tidak dapat mengujinya di Deadbolt, kami harus menjalankannya di testnet untuk memastikannya berfungsi, ”kata penyelidik.
Setelah polisi Belanda menerapkan skrip tersebut, tidak butuh waktu lama bagi Deadbolt untuk mengetahui dan menghentikan metode pengiriman kunci dekripsi otomatisnya melalui OP_RETURN. Namun berkat upaya terkoordinasi, hampir 90% polisi korban dapat memulihkan data mereka dan menghindari pembayaran uang tebusan. Menurut pihak berwenang, Deadbolt kehilangan "ratusan ribu dolar".
Polisi Belanda sangat ingin mengingatkan masyarakat untuk melaporkan kejahatan dunia maya — lagipula, hanya melalui laporan polisi korban dapat diidentifikasi. Banyak korban Deadbolt yang tidak pernah mengajukan laporan polisi tidak dapat menutup pembayaran uang tebusan.
Adapun Deadbolt, masih beroperasi. Namun, geng tersebut terpaksa mengadopsi metode pengiriman kunci dekripsi yang berbeda, meningkatkan biaya overhead.
Untuk berita lebih lanjut, ikuti kami di Twitter dan berita Google atau berlangganan Youtube channel.
Sumber: https://protos.com/dutch-police-recover-90-of-victim-decryption-keys-in-ransomware-scam/