La Polizia olandese beffa il gruppo ransomware DeadBolt: ottenute 155 chiavi di decriptazione

martedì 18 ottobre 2022
La Polizia olandese beffa il gruppo ransomware DeadBolt: ottenute 155 chiavi di decriptazione

La Polizia olandese, in collaborazione con alcune aziende di cyber sicurezza, ha truffato il gruppo ransomware DeadBolt, sottraendo loro oltre 155 chiavi di decriptazione.

Il ransomware DeadBolt e le ondata di attacchi contro i NAS Qnap
Di DeadBolt abbiamo già parlato: è un ransomware che si è specializzato negli attacchi contro i NAS del vendor QNAP. L'Italia è stata riguardata in due diverse ondate di attacchi, risalenti al Febbraio e al Settembre 2022.

L'operazione ransomware DeadBolt è iniziata nel Gennaio del 2022 prendendo fin da subito di mira i NAS Qnap: nel Febbraio del 2022 il raggio di azione si è allargato, fino ad andare a colpire i NAS ASUSTOR. Nella quasi totalità dei casi, gli accessi ai NAS Qnap sono stati dovuti all'exploit di vulnerabilità 0-day.

Per approfondire > Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa (Febbraio 2022)

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch (Settembre 2022)

La Polizia olandese truffa i truffatori
La Polizia olandese, in collaborazione con alcune aziende di cyber sicurezza, ha truffato il gruppo ransomware DeadBolt, sottraendo loro oltre 155 chiavi di decriptazione grazie ad una debolezza nel protocollo di pagamento e invio delle chiavi di decriptazione alle vittime.

In dettaglio, una volta che il riscatto è stato pagato DeadBolt crea una transazione in Bitcoin verso lo stesso indirizzo con il quale è stato pagato il riscatto. Questo contenente la chiave di decriptazione per la vittima. La chiave di decriptazione è consultabile nell'output OP_RETURN, come si vede in foto

Fonte: BleepingComputer

Quando la vittima inserisce questa chiave nella schermata contenete la nota di riscatto, questa sarà convertita in un hash SHA256 e comparata all'hash SHA256 della chiave di decriptazione della vittima e l'hash SHA256 della master key di DeadBolt. Se la chiave di decriptazione corrisponde a uno degli hash SHA256 del malware, i file saranno decriptati.

É in questo meccanismo che si è infiltrata la polizia olandese:

"La polizia ha pagato il riscatto, ricevuto la chiave di decriptazione, quindi ha anullato il pagamento. Queste chiavi consentono di sbloccare i file senza costi per le vittime" si legge nel comunicato stampa pubblicato sulla vicenda.

Come ha funzionato la truffa agli attaccanti?
Andiamo nel dettaglio: Rickey Gevers, esperto di sicurezza che ha collaborato a questa operazione, ha spiegato che la polizia olandese ha iniziato ad effettuare transazioni in Bitcoin verso i wallet degli attaccanti con importo pari al riscatto richiesto.

Quando una vittima paga il riscatto, DeadBolt attiva un meccanismo automatico per cui gli operatori inviano al wallet che ha pagato il riscatto una transazione con la chiave di decriptazione. In pratica gli attaccanti non attendono la cosiddetta "Bitcoin confirmation". Quando un utente esegue una transizione i Bitcoin, questa viene pubblicata nel network Bitcoin per essere processata e verificata da tutti i computer che sono integrati nella rete. Quando una transazione viene inclusa in un blocco della blockchain si dice che la transazione ha ricevuto conferma ed è stata considerata legittima.

Qui sta la falla: gli attaccanti hanno inviato alla Polizia olandese le chiavi di decriptazione prima di ricevere la Bitcoin Confirmation. La Polizia ha quindi annullato i pagamenti prima che fossero confermati, lasciando gli attaccanti con un pugno di mosche in mano.

L'escamotage è durato solo pochi minuti va detto, dopo i quali gli attaccanti si sono accorti della truffa e hanno sospeso l'invio della chiavi. Questo lasso di tempo ha comunque permesso alle forze dell'ordine di recuperare 155 chiavi: altrettanti utenti potranno quindi tornare gratuitamente in possesso dei propri file.

Nel frattempo, però, gli autori del ransomware hanno corretto questo meccanismo: ora richiedono una doppia conferma prima di inviare le chiavi di decriptazione alle vittime.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy