A Polícia Nacional Holandesa, em conjunto com a empresa de segurança cibernética Responders.NU, anunciou ter obtido, usando pagamentos falsos em Bitcoin, mais de 150 chaves de descriptografia da gangue de ransomware DeadBolt.
Visto pela primeira vez em janeiro, o DeadBolt tem como alvo dispositivos de armazenamento conectado à rede (NAS) voltados para a internet, principalmente dispositivos da QNAP e Asustor. Desde o início do ano, houve várias ondas de infecções pelo ransomware observadas, inclusive em março, junho e setembro. No início deste ano, a empresa de segurança cibernética Trend Micro divulgou um relatório detalhando o funcionamento interno do DeadBolt, que aproveita o esquema de extorsão em vários níveis visando fornecedores e suas vítimas.
As autoridades holandesas conseguiram realizar sua operação do “golpe” após uma dica de pesquisadores do Responders.NU, que descobriram que a gangue do ransomware estava armazenando as chaves de descriptografia dentro dos metadados de uma transação Bitcoin. Com base nessa descoberta, a polícia fez vários pagamentos com uma taxa mínima e cancelou as transações após receber as chaves de descriptografia. No entanto, quando os hackers do DeadBold perceberam que foram enganados, eles mudaram de tática e agora exigem confirmação dupla antes de liberar as chaves de descriptografia.
Veja isso
Dispositivos da QNAP sob ataque do Deadbolt desde janeiro
Sistema NAS da QNAP é alvo de variante de ransomware DeadBolt
As chaves de descriptografia obtidas agora estão disponíveis publicamente para as vítimas do DeadBolt. Elas podem verificar se sua chave também está disponível no site deadbolt.responders.nu.
Segundo a polícia, 20 mil dispositivos de armazenamento NAS em todo o mundo foram mantidos reféns pelo Deadbolt, dos quais pelo menos mil estão na Holanda. A polícia holandesa acredita que esta operação pode ajudar 90% das vítimas internacionais em qualquer um dos 13 outros países onde o grupo de hackers realizou ataques de ransomware.
Em comunicado, as autoridades holandesas temem nem todas as chaves chegarão às vítimas, pois só as cederá àquelas que relatarem e comprovarem ter sofrido ataque. A Responders.NU aconselha as vítimas a acessar o site deadbolt.responders.nu e verificar se a chave também está disponível e seguir as instruções de desbloqueio. Com agências de notícias internacionais.