Criminosos deixaram de ganhar 4,65 bitcoins ao serem enganados pela Polícia Nacional da Holanda. A tentativa de lucrar com um ataque de ransomware foi frustrada por um erro básico por parte dos hackers.
Veja esse conteúdo em formato de vídeo abaixo:
Um grupo de hackers conhecido como DeadBolt está ativo desde janeiro e já realizou pelo menos 20 mil ataques de sequestro de dados mundialmente e 1 mil na Holanda.
O ransomware, como é chamado essa modalidade de ataque, invade computadores alheios para encriptar todas as informações e depois oferecer uma chave de desencriptação por determinado valor.
Ou seja, o indivíduo ou a instituição atacada por um ransomware só consegue acesso aos próprios dados se o hacker enviar uma determinada senha para a vítima, caso ela não tenha uma cópia de segurança atualizada de tudo.
A gangue de bandidos e os ataques de ransomware
A gangue DeadBolt começou a operar quando descobriu uma falha de segurança em aparelhos QNAP (uma marca de aparelhos de armazenamento conectado à rede), e então passaram a vitimar o maior número possível de usuários.
A mensagem de aviso dos hackers explicava que fotos, documentos, planilhas e outros dados haviam sido encriptados e que o ataque não era pessoal: “Você foi um alvo por causa da segurança inadequada provida pelo seu fornecedor (QNAP).”
“Você pode agora fazer um pagamento de (exatamente) 0.03 bitcoin para o seguinte endereço: bc1qc… [editado].”, continuava a mensagem de ransom dos cibercriminosos.
O pagamento em bitcoin, o erro dos hackers
O repasse da chave de desencriptação é sempre um problema em casos de ransomware. Por mais que a vítima pague o valor determinado pelos atacantes, seja em bitcoin, monero ou outra forma de pagamento, não há qualquer garantia de que os hackers liberem os dados novamente.
Dependendo dos dados que eles tenham acesso, as informações podem ser vendidas em fóruns na deep web ou, pelo motivo que seja, a devolução pode simplesmente não acontecer. Essa incerteza é negativa até para os atacantes, pois por muitas vezes não recebem o valor solicitado porque a vítima não considerou que valia o risco de pagar.
Para mitigar essa incerteza, a solução pensada pela gangue DeadBolt foi engenhosa (até certo ponto). Eles programaram o encaminhamento da chave de desencriptação para acontecer automaticamente, assim que o pagamento de 0.03 BTC fosse percebido.
“Nosso processo de entrega de chave de descriptografia é 100% transparente e honesto.”, diz nota da DeadBolt.
A chave que resolveria a situação da vítima é enviada pelo blockchain do Bitcoin no OP_RETURN, um campo em branco onde usuários podem adicionar até 40 bytes de dados arbitrários.
Dessa forma, bastaria que o usuário seguisse as instruções dos hackers e observasse em um explorador de blocos o seu endereço que utilizou para fazer o pagamento em bitcoin. Com o acesso a chave, seria possível colá-la no desencriptador e recuperar seus arquivos do computador.
Além de resolver o problema citado anteriormente, a utilização do Bitcoin ainda remove a necessidade da DeadBolt operar uma infraestrutura própria como um site na dark web para o envio da chave.
O erro dos hackers? Eles não esperavam por confirmações.
Como a polícia holandesa recuperou tudo de graça
Contando com o auxílio da empresa de segurança cibernética Responders.NU, a Polícia Nacional da Holanda percebeu que a chave era enviada antes mesmo da transação de pagamento ser confirmada no blockchain.
Em termos técnicos, isso significa que o script escrito pelos hackers considerava o pagamento presente na mempool do Bitcoin como suficiente para o envio da chave para a vítima. Alguns conhecem essa prática como o aceite de 0-conf (zero confirmações).
Porém, algumas técnicas podem ser utilizadas para tentar cancelar transações, utilizando as mesmas moedas em outras transações com destinos diferentes e com taxa maior, por exemplo. Isso aumenta a chance de um minerador escolher a segunda ao invés da primeira para incluir em seu bloco minerado. Uma vez confirmada a segunda transação, como o BTC não pode ser gasto duplamente, o primeiro envio é cancelado e jamais pode ser concluído.
Entenda como essa técnica funciona lendo as matérias “Vídeo que mostra ‘vulnerabilidade do Bitcoin’ é censurado do Reddit; assista” e “Nova atualização da Electrum permite o ‘gasto duplo’ de bitcoins“.
Tendo isso em mente, a polícia holandesa (acionada para auxiliar as vítimas dos ransomwares locais) conseguiu resgatar 155 chaves por um custo baixíssimo (apenas de taxas de transações de BTC).
A ação inteligente da polícia resultou em 4,65 BTC, o equivalente a R $488.780,10 na cotação atual, a menos para os bolsos dos bandidos. Conhecimento técnico sobre Bitcoin e mempool foram colocados em prática com sucesso.
Infelizmente, a DeadBolt percebeu o erro e agora seu programa de envio automático de chaves aguarda por duas confirmações na transação de pagamento, o que virtualmente impossibilita a técnica de driblar o pagamento do resgate.
Leia mais:
- Ransomware, a história que não te contaram
- O que é ransomware e como se livrar de um?
- Santander UK limita transações cripto, banco diz que investir na indústria tem ‘alto risco’
- Gala Games nega especulações de hack multibilionário após queda do token
- JPMorgan fez sua primeira transação DeFi na Polygon Blockchain