sam. Déc 3rd, 2022

Si vous possédez un NAS crypté par le rançongiciel DeadBolt, vous devez appeler la police néerlandaise.

La police néerlandaise a exploité une charge élevée sur la blockchain Bitcoin pour voler 155 clés aux pirates derrière le rançongiciel DeadBolt afin de décrypter de nombreux systèmes NAS compromis. Les propriétaires concernés d’un NAS QNAP et Asustor peuvent vérifier via un site Web si l’une de ces clés peut déchiffrer leurs fichiers.

Environ 20 000 systèmes NAS chiffrés par DeadBolt

Le rançongiciel DeadBolt rend dangereux de nombreux systèmes NAS (Network Attached Storage) de QNAP et Asustor depuis janvier. Pour ce faire, il crypte tous les fichiers sur les appareils infectés puis demande à ses victimes de payer une rançon de 0,03 Bitcoin, ce qui correspond à environ 600 euros au taux de change actuel. Selon la police néerlandaise, environ 20 000 systèmes sont concernés dans le monde.

Après avoir payé la rançon, DeadBolt initie une transaction bitcoin vers le même portefeuille où la victime a envoyé la rançon. Là, elle attache une clé avec laquelle les fichiers cryptés sur le NAS peuvent être à nouveau décryptés.

La police néerlandaise a exploité la blockchain Bitcoin surchargée

Selon un communiqué de presse, les policiers néerlandais ont utilisé la possibilité d’annuler les paiements en bitcoins avant que le système ne les inclue dans un bloc pour voler un total de 155 clés aux pirates DeadBolt. « Ces clés permettent de déverrouiller des fichiers tels que des photos précieuses ou de l’administration sans encourir de frais pour les victimes« , indique le communiqué.

Voir aussi  Clearview AI étend l'accès à la base de données

Étant donné que la transaction contenant la clé est automatiquement déclenchée avec le montant correct immédiatement après que le paiement de la rançon a été effectué avec succès, les agents ont pu initier et annuler immédiatement les paiements encore et encore. Et pourtant, à chaque fois, ils recevaient une nouvelle clé en réponse de DeadBolt.

Pour leur tour, les policiers ont utilisé une fenêtre temporelle dans laquelle la blockchain Bitcoin était fortement surchargée et les frais de transaction étaient particulièrement bas. Cette combinaison a rendu la blockchain beaucoup plus longue à «pour confirmer une transaction, permettant à la police d’effectuer une transaction, d’obtenir la clé et d’annuler immédiatement leur transaction bitcoin.« 

155 clés privent les pirates DeadBolt de leur butin

Comme l’a dit l’expert en sécurité de Responders.NU, Rickey Gevers, à BleepingComputer, les attaquants de DeadBolt ont remarqué l’astuce en quelques minutes. Le logiciel a ensuite été adapté. Une double confirmation est donc désormais requise avant de libérer une clé pour déchiffrer un système NAS. L’arnaque ne peut donc plus être utilisée. Apparemment, ce gang de rançongiciels n’a pas autant de respect pour la police qu’AvosLocker, dont nous avons parlé en janvier.

Néanmoins, les officiers ont pu capturer 155 clés en peu de temps. Grâce à cela, ils ont pu fournir un décryptage gratuit à au moins 90 % des victimes néerlandaises qui ont signalé leur NAS crypté par DeadBolt. La police néerlandaise a mis une plateforme à la disposition de toutes les personnes concernées qui n’ont pas porté plainte. Ils peuvent l’utiliser pour vérifier à tout moment si leurs fichiers peuvent être déchiffrés à l’aide de l’une des clés capturées.

Voir aussi  Que pouvez-vous apprendre dans une formation d'analyste de données ?