Autoridades enganaram grupo de ransomware com falsos pagamentos
Os grupos de ransomware aplicam diferentes técnicas para tentar enganar as suas vítimas, levando-as a bloquearem os ficheiros dos seus sistemas e a terem de pagar para reaver os seus conteúdos. No entanto, recentemente o grupo conhecido pelo ransomware “DeadBolt” foi enganado pelas autoridades com uma técnica bastante interessante.
De acordo com as autoridades dos Países Baixos, o grupo terá sido enganado para fornecer quase 155 chaves de desencriptação de conteúdos sem terem recebido os respetivos pagamentos das mesmas.
O grupo encontra-se ativo desde janeiro deste ano, e é conhecido por requerer o pagamento de 0.03 BTC para desbloquear os ficheiros das vítimas. No entanto, as autoridades conseguiram enganar o grupo ao usarem falsos pagamentos.
O grupo atua praticamente sempre da mesma forma: depois de infetar os sistemas e requerer o pagamento, as vítimas que realizem o mesmo recebem a chave de desencriptação automaticamente na mesma carteira virtual de onde o pagamento foi realizado.
Este processo é feito de forma automática pelo sistema do grupo, que quando deteta que uma das suas carteiras recebeu um pagamento, envia automaticamente a chave de retorno. No entanto, as autoridades conseguiram explorar este sistema ao realizarem os pagamentos, mas sem concluírem o mesmo. Ou seja, o pagamento era realizado, mas imediatamente cancelado sem chegar ao destino.
Isto terá sido suficiente para enganar o sistema, que apesar de realizar o envio da chave para a carteira que realizou o pagamento original de desencriptação de conteúdos, este não validava se os pagamentos eram realmente terminados antes desse processo.
Com recurso a esta técnica, as autoridades afirmam que conseguiram reaver 155 chaves de desencriptação associadas com vítimas que reportaram os seus ataques às autoridades.
Infelizmente, este método foi rapidamente identificado pelo grupo, que já terá atualizado o seu sistema para apenas enviar as chaves depois de duas verificações do pagamento ter sido realizado terem sido feitas. Desta forma, no momento, as chaves apenas são enviadas depois do pagamento ter sido efetivamente validado na rede – ainda assim, terá sido um método inteligente de contornar o sistema, permitindo a 155 vítimas conseguirem recuperar os seus ficheiros gratuitamente.