Foto: PaulinePhotoDesign/Shutterstock
La policía holandesa ha asestado un doloroso golpe al grupo de ransomware Deadbolt. Debido a un error en el método de trabajo del grupo, la policía consiguió robarle varias claves, sin pagar el rescate exigido. La empresa de análisis de Blockchain Chainalysis escribe esto en una reciente entrada de blog.
El ransomware suele pedir bitcoin como rescate
El ransomware es un tipo de virus informático que puede infectar ordenadores y cifrar (bloquear) archivos para que la víctima no pueda acceder a ellos. El atacante pide entonces un rescate, normalmente en bitcoin, a cambio de proporcionar la clave para desbloquear los archivos. Si la víctima no paga el rescate, existe una alta probabilidad de que los archivos se pierdan para siempre.
En este caso concreto, se trata del ransomware Deadbolt. Mientras que normalmente las grandes empresas o los organismos gubernamentales suelen ser el objetivo de los hackers que despliegan ransomware, Deadbolt se dirige a empresas más pequeñas e incluso a particulares. Los afectados son los dispositivos de almacenamiento conectados a Internet (NAS) de QNAP. Dado que el objetivo son principalmente las pequeñas partes, y que la petición de rescate no suele ser muy alta, Deadbolt no es uno de los mayores en términos de ingresos. Sin embargo, puede causar estragos en las víctimas.
Cómo trabajó la policía holandesa
Al parecer, los equipos de ciberdelincuencia de la policía de Holanda Oriental y Brabante Oriental consiguieron ayudar a cientos de víctimas a obtener las claves de descifrado. Aprovecharon un fallo en el sistema de distribución automatizada de Deadbolt.
Normalmente, la víctima recibe la clave una vez que ha pagado el rescate en bitcoin. Entonces, el ransomware envía automáticamente la clave a través de la blockchain mediante una transacción con una pequeña cantidad de BTC. Pero utilizando la función de «sustitución por pago», era posible retirar el rescate pagado después de que la clave se liberara automáticamente.
La policía identificó a las víctimas de Deadbolt que aún no habían pagado sus rescates, probó su script y luego lo desplegó para enviar y recuperar los fondos de las víctimas de Deadbolt. El resultado fue la recuperación de las claves de descifrado de casi el 90% de las víctimas que informaron de las direcciones de pago de Deadbolt a través de Europol, lo que hizo que Deadbolt perdiera cientos de miles de euros.
Deadbolt lo descubrió pronto y modificó el sistema. Como resultado, el grupo se vio obligado a adoptar un proceso más manual para proporcionar las claves, lo que le restó eficacia. Chainalysis concluye que blockchain no sólo ofrece una solución para rastrear las transacciones:
«En este caso, las fuerzas de seguridad pudieron descubrir un fallo crítico en el modus operandi de Deadbolt examinando de cerca los patrones de las transacciones e indagando en los metadatos de las mismas. La operación también subraya por qué es tan importante que las víctimas de ransomware denuncien los ciberataques a las autoridades.»
Anteriormente, en las crypto noticias pudiste leer que la policía holandesa, junto con el FBI, causó un doloroso revés a otro grupo. El impacto de esa acción fue mucho más doloroso.
