Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 18 Ottobre 2022 08:00
Anche i criminali informatici possono essere truffati. Questa è una storia che racconta proprio questo dove la vittima è stata la cybergang DeadBolt, la quale è stata “trollata” dalla polizia olandese.
La polizia olandese, insieme agli specialisti della sicurezza delle informazioni di RespondersNU, ha indotto gli operatori del ransomware DeadBolt a fornire loro 155 chiavi per decrittografare i dati. Per questo, gli esperti hanno dovuto falsificare dei pagamenti di riscatto.
DeadBolt è attivo dall’inizio del 2022 e attacca NAS di vari produttori. Il ransomware è principalmente specializzato sui dispositivi Qnap, ma sono stati rilevati anche attacchi ai NAS ASUSTOR .
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo la polizia olandese, gli attacchi ransomware hanno già compromesso più di 20.000 dispositivi in tutto il mondo e almeno 1.000 nei Paesi Bassi.
Richiedono 0,03 bitcoin (circa 575 dollari) dai proprietari del NAS hackerato per decrittare i dati.
Gli esperti affermano che dopo aver pagato il riscatto, DeadBolt invia una transazione bitcoin allo stesso indirizzo utilizzato per pagare il riscatto. Di conseguenza, la transazione contiene la chiave per decifrare i dati per la vittima, che può essere trovata in OP_RETURN.
Quando la vittima fornisce questa chiave al malware, viene convertita in un hash SHA256, rispetto all’hash SHA256 della chiave di decrittazione della vittima, nonché all’hash SHA256 della chiave di decrittazione master di DeadBolt. Se la chiave di decrittografia corrisponde a uno degli hash SHA256, i file crittografati sul NAS verranno decrittografati.
“La polizia ha pagato il riscatto, ha ricevuto le chiavi di decrittazione e poi ha ritirato i pagamenti. Queste chiavi consentono di sbloccare file come foto o file in generale senza spendere soldi”
hanno affermato le forze dell’ordine in un comunicato stampa.
Bleeping Computer ha scoperto i dettagli di questa operazione da un esperto di sicurezza delle informazioni di RespondersNU, Rickey Gevers. Ha confermato che la polizia ha indotto il ransomware a creare chiavi di decrittazione e ha annullato le sue transazioni prima che fossero incluse nel blocco.
Il fatto è che la chiave di decrittazione è stata inviata immediatamente dalle vittime, senza attendere la conferma della legittimità della transazione. Ciò ha consentito alle forze dell’ordine e agli esperti di falsificare i pagamenti di riscatto quando la blockchain era fortemente congestionata.
Poiché la blockchain aveva bisogno di tempo per confermare le transazioni, la polizia è riuscita a completare le transazioni, ottenere le chiavi e annullare immediatamente i pagamenti.
Sfortunatamente, la cybergang ha capito come sono stati truffati, motivo per cui gli hacker dietro DeadBold ora richiedono una doppia conferma prima di consegnare le chiavi per decrittografare i dati alle vittime.
RedazioneUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
