On sait que les pirates informatiques spécialisés dans le rançongiciel peuvent être particulièrement créatifs. Mais, bonne nouvelle, ceux qui luttent contre cette forme de criminalité organisée ont aussi beaucoup d’imagination. La police néerlandaise vient ainsi de réaliser un joli coup d’éclat en faisant main basse sur 155 clés de déchiffrement de victimes du gang de rançongiciel DeadBolt.
Ruse liée au paiement
Pour obtenir ces clés, qui vont permettre aux victimes de retrouver leurs fichiers en clair, les enquêteurs néerlandais ont rusé. L’astuce, partagée par la société de cybersécurité Responders, est assez simple. La police néerlandaise a tout simplement simulé des rançons en bitcoin de manière à obtenir des clés de déchiffrement.
Comme le rappelle le Bleeping Computer, une fois la rançon payée, DeadBolt créait automatiquement une nouvelle transaction bitcoin contenant la clé de déchiffrement de la victime. Un automatisme source de vulnérabilité, ont estimé à raison la police néerlandaise et la société Responders.
Ils ont ainsi visé une phase d’embouteillage de la blockchain Bitcoin pour lancer des transactions, annulées dans la foulée pour qu’elles ne soient pas gravées dans le marbre de la blockchain. Cent-cinquante-cinq clés de déchiffrement ont ainsi été obtenues. Le gang DeadBolt s’est alors rendu compte de l’arnaque et a mis en place un mécanisme de double confirmation précédant l’envoi des clés de déchiffrement.
Site pour les victimes
Le communiqué de la police néerlandaise précise qu’Europol, la police et la gendarmerie françaises ont également apporté leur concours, mais sans en préciser les modalités. De son côté, la société Responders a ouvert une page sur son site internet pour les victimes qui ne se seraient pas signalées, leur permettant de récupérer des clés des déchiffrement obtenues par la police.
Apparu en janvier 2022, le gang DeadBolt ciblait des serveurs de stockage en réseau Qnap et les appareils Asustor. Le logiciel malveillant chiffrait les données des victimes et demandait une rançon fixée à 0,03 bitcoin, soit environ 600 euros au cours actuel. Selon la police néerlandaise, le rançongiciel aurait fait plus de 20 000 victimes dans le monde.