Foto: PaulinePhotoDesign/Shutterstock
De Nederlandse politie heeft een pijnlijke klap uitgedeeld aan de ransomware-groep Deadbolt. Door een fout in de werkwijze van de groep wist de politie meerdere sleutels te ontfutselen van de groep, zonder dat zij hiervoor het geëiste losgeld betaalde. Dat schrijft blockchain-analysebedrijf Chainalysis in een recente blogpost.
Ransomware eist vaak bitcoin als losgeld
Ransomware is een type computervirus dat computers kan infecteren en bestanden kan versleutelen (vergrendelen) zodat het slachtoffer er niet meer bij kan. De aanvaller eist vervolgens losgeld, meestal in bitcoin, in ruil voor het verstrekken van de sleutel om de bestanden te ontgrendelen. Als het slachtoffer het losgeld niet betaalt is de kans groot dat de bestanden voor altijd verloren gaan.
In dit specifieke geval gaat het om de Deadbolt ransomware. Terwijl normaal gesproken vaak grote bedrijven of overheidsinstanties het doelwit vormen voor hackers die ransomware inzetten, is Deadbolt gericht op kleinere bedrijven en zelfs personen. Zij worden getroffen via opslagapparaten die via het internet zijn aangesloten (NAS) van QNAP. Doordat vooral kleine partijen het doelwit zijn, en het geëiste losgeld vaak niet heel hoog is, behoort Deadbolt qua opbrengsten niet tot de grootsten. Desalniettemin kan het grote schade aanrichten bij slachtoffers.
Hoe de Nederlandse politie te werk ging
De cybercrimeteams van Oost-Nederland en Oost-Brabant van de politie wisten naar verluidt honderden slachtoffers te helpen aan de decryptiesleutels te komen. Zij maakten gebruik van een fout in het geautomatiseerde distributiesysteem van Deadbolt.
Normaal gesproken ontvangt het slachtoffer de sleutel zodra het losgeld in bitcoin is betaald. Vervolgens verstuurd de ransomware automatisch de sleutel via de blockchain middels een transactie met een klein bedrag aan BTC. Maar door de “replace-by-fee” functie te gebruiken, was het mogelijk om het betaalde losgeld terug te trekken nadat de sleutel automatisch was vrijgegeven.
De politie identificeerde Deadbolt-slachtoffers die hun losgeld nog moesten betalen, testte hun script en zette het vervolgens in om betalingen voor Deadbolt-slachtoffers te verzenden en terug te halen. Dit resulteerde in het terughalen van decryptiesleutels voor bijna 90% van de slachtoffers die Deadbolt-betalingsadressen via Europol hadden gemeld, waardoor Deadbolt honderdduizenden euro’s misliep.
Deadbolt kwam er al snel achter en paste het systeem aan. De groep werd hierdoor gedwongen om een meer handmatig proces aan te nemen voor het verstrekken van de sleutels, waardoor de groep minder efficiënt te werk kan gaan. Chainalysis concludeert dat blockchain niet enkel voor het traceren van transacties een uitkomst biedt:
“In dit geval kon de politie een cruciaal zwakke plek in de modus operandi van Deadbolt ontdekken door de transactiepatronen nauwkeurig te bekijken en in de metadata van de transacties te duiken. De operatie onderstreept ook waarom het zo belangrijk is dat slachtoffers van ransomware cyberaanvallen bij de autoriteiten melden.”
Eerder was in het crypto nieuws te lezen dat de Nederlandse politie samen met de FBI een pijnlijke tegenslag veroorzaakten voor een andere groep. De impact van die actie was een stuk groter, zoals hier te lezen.
