上週五,荷蘭警方與荷蘭資安廠商 Responders. NU 合作,對知名勒索組織 Deadbolt 的勒索行為進行了成功的干預,使 90% 被 Deadbolt 勒索的使用者在無成功支付 Deadbolt 贖金的情況下,得到特殊加密的解密金鑰。
◾️ 前情提要
Deadbolt 與其他的勒索軟體不同之處在於,其他勒索組織是透過網際網路對於其連線設備進行攻擊,加密網路中電腦內部的重要檔案;然而,Deadbolt 鎖定的攻擊目標卻是 NAS 設備 (Network-Attached Storage, 鎖定網路附加儲存) 設備上的重要備份資料。
一旦 Deadbolt 成功取得了對於 NAS 設備資料的存取權,Deadbolt 會對其內部資料進行特殊加密,並要求使用者需要繳交虛擬貨幣贖金,才會將解密金鑰回傳,協助將特殊加密的資料進行解密。
◾️ 過程描述
透過 Responders 向 BleepingComputer 所公佈的消息,本次的成功即是透過比特幣的交易空窗:在 Deadbolt 尚未取得贖金,但使用者已經得到回傳的解密金鑰時,撒回與 Deadbolt 的贖金交易。其關鍵在於 Responders了解到駭客在偵測到受害者執行正確金額的比特幣交易後就會透過系統設定自動地送出解密金鑰,由於目前比特幣的交易行為繁多且壅塞,警方所提供的低手續費用使交易的順序被安排在交易活動的後期。荷蘭警方便趁此空檔,在取得金鑰之後立即撤回交易。雖然此手法很快地就被 Deadbolt 駭客們發現,但此時,警方已經成功地在僅損失手續費用的情況下,協助受害者取得了155 個解密金鑰,並協助近9成的報案者將資料解鎖。
在全球 13 個國家的資訊分享合作中,荷警才得以掌握 Deadbolt 勒索組織本次的勒索的行為;而Deadbolt 勒索組織也受到國際警方的注意,並重重地打擊了 Deadbolt 勒索組織的系統,迫使其關閉。
在本次打擊 Deadbolt 勒索組織成功之餘,response.NU 也請遭受勒索的受害者可以主動向警方提供勒索的資訊,協助警方掌握勒索組織的動向與活動,並與專家們一同規劃大規模的介入行動。
參考資料
荷蘭智取勒索軟體集團Deadbolt,利用比特幣交易空窗獲得逾150個解密金鑰, iThome (Oct 17, 2022)- https://www.ithome.com.tw/news/153664
Nederlandse gedupeerden geholpen in unieke ransomware-actie, politie.nl (Oct 14, 2022) - https://www.politie.nl/nieuws/2022/oktober/14/09-nederlandse-gedupeerde-geholpen-in-unieke-ransomware-actie.html