네덜란드 경찰, 랜섬웨어 사기 피해자 복호화 키 90% 회수

Chainalysis의 보고서에 따르면 네덜란드 경찰이 Deadbolt 랜섬웨어 그룹을 방해하여 경찰에 연락한 피해자의 90%의 암호 해독 키를 복구했습니다.

2021년부터 Deadbolt는 소기업과 때로는 개인을 노리며 빠르게 합산될 수 있는 더 작은 몸값을 요구했습니다. 2022년 Deadbolt는 약 2.3명의 피해자로부터 5,000만 달러 이상을 성공적으로 모았습니다. 평균 몸값 지불액은 476달러로 모든 랜섬웨어 사기의 평균 금액인 70,000달러보다 훨씬 낮습니다.

Deadbolt의 개발자는 피해자에게 암호 해독 키를 제공하는 고유한 방법을 설계했습니다. 이것은 많은 사람들을 표적으로 삼는 것을 가능하게 했으며 네덜란드 경찰이 발견한 것처럼 궁극적으로 그룹의 몰락이 될 것입니다.

Chainalysis에서 보고한 바와 같이 Deadbolt는 QNAP에서 만든 네트워크 공격 스토리지 장치의 보안 결함을 악용합니다. 피해자의 기기가 감염되면 특정 금액의 비트코인을 지갑 주소로 보내라는 간단한 메시지가 표시됩니다.

데드볼트는 피해자가 OP_RETURN 필드에 적힌 복호화 키로 랜섬 주소로 소량의 비트코인을 보내 지불하면 자동으로 복호화 키를 피해자에게 보낸다. 체이널리시스는 개발자들이 피해자가 돈을 지불할 때마다 자신의 지갑 주소로 0.0000546 BTC(약 1달러)를 보내는 사전 프로그래밍된 트랜잭션을 가지고 있어 암호 해독 키를 전달하는 데 자금을 사용할 수 있다고 믿고 있습니다.

네덜란드 경찰 트릭 Deadbolt 시스템

이 다소 정교한 방법은 네덜란드 경찰이 Deadbolt를 방해하게 만든 것입니다. 조사관은 시스템을 속여 수백 명의 피해자에게 암호 해독 키를 반환하도록 할 수 있음을 깨달았습니다. 실제로 몸값을 내지 않고도 데이터를 복구할 수 있습니다.

한 수사관은 Chainalysis에 "Chainalysis의 거래를 살펴보면 어떤 경우에는 피해자의 지불이 실제로 블록체인에서 확인되기 전에 Deadbolt가 암호 해독 키를 제공하는 것을 확인했습니다."라고 말했습니다.

이는 확인되지 않은 트랜잭션이 비트코인의 메모리 풀에서 시스템을 속이기 위해 대기하는 동안 약 10분의 시간이 있음을 의미했습니다. 

"피해자는 Deadbolt에 지불금을 보내고 Deadbolt가 암호 해독 키를 보낼 때까지 기다린 다음 대체 수수료를 사용하여 보류 중인 거래를 변경하고 랜섬웨어 지불금을 피해자에게 돌려줄 수 있습니다."라고 조사관은 말했습니다.

그러나 네덜란드 경찰은 한 가지 문제에 직면했습니다. Deadbolt가 무슨 일이 일어나고 있는지 깨닫기 전에 그들은 한 번만 총을 맞았을 것입니다. 그래서 수사관들은 인터폴과 함께 전국의 경찰 보고서 등을 조사해 아직 몸값을 지불하지 않은 피해자가 많은지 파악했습니다.