Wer ein durch die DeadBolt-Ransomware verschlüsseltes NAS sein Eigen nennt, sollte mal bei der niederländischen Polizei vorbeischauen.
Die niederländische Polizei nutzte eine hohe Last auf der Bitcoin-Blockchain aus, um den Hackern hinter der DeadBolt-Ransomware 155 Schlüssel zur Entschlüsselung zahlreicher kompromittierter NAS-Systeme abzuziehen. Betroffene Besitzer eines QNAP- und Asustor-NAS können über eine Webseite prüfen, ob einer dieser Schlüssel ihre Dateien entschlüsseln kann.
Rund 20.000 NAS-Systeme durch DeadBolt verschlüsselt
Die Ransomware DeadBolt macht seit Januar zahlreiche NAS-Systeme (Network Attached Storage) von QNAP und Asustor unsicher. Dafür verschlüsselt sie sämtliche Dateien auf infizierten Geräten und fordert ihre Opfer anschließend zu einer Lösegeldzahlung in Höhe von 0,03 Bitcoin auf, was nach aktuellem Kurs rund 600 Euro entspricht. Laut der niederländischen Polizei sollen weltweit etwa 20.000 Systeme betroffen sein.
Nach erfolgter Lösegeldzahlung leitet DeadBolt eine Bitcoin-Transaktion an dieselbe Wallet ein, an die das Opfer das Lösegeld gesendet hat. Dort hängt sie einen Schlüssel an, mit dem sich die verschlüsselten Dateien auf dem NAS wieder entschlüsseln lassen.
Niederländische Polizei nutzte überlastete Bitcoin-Blockchain aus
Laut einer Pressemitteilung nutzten Beamte der niederländischen Polizei die Möglichkeit, Bitcoin-Zahlungen zu stornieren, bevor das System sie in einen Block aufnimmt, um insgesamt 155 Schlüssel von den DeadBolt-Hackern abzugreifen. „Diese Schlüssel ermöglichen es, Dateien wie geschätzte Fotos oder die Verwaltung wieder zu entsperren, ohne dass den Opfern Kosten entstehen„, heißt es in der Mitteilung.
Da die Transaktion, die den Schlüssel enthält, automatisch direkt nach erfolgreicher Lösegeldzahlung mit dem richtigen Betrag ausgelöst wird, konnten die Beamten immer wieder Zahlungen initiieren und unmittelbar stornieren. Und trotzdem erhielten sie jedes Mal einen neuen Schlüssel als Antwort von DeadBolt.
Die Polizisten nutzten für ihren Trick ein Zeitfenster, in dem die Bitcoin-Blockchain stark überlastet und die Transaktionsgebühren besonders niedrig waren. Durch diese Kombination brauchte die Blockchain viel länger, „um eine Transaktion zu bestätigen, was es der Polizei ermöglichte, eine Transaktion durchzuführen, den Schlüssel zu erhalten und ihre Bitcoin-Transaktion sofort zu stornieren.„
155 Schlüssel bringen DeadBolt-Hacker um ihre Beute
Wie der für Responders.NU tätige Sicherheitsexperte Rickey Gevers gegenüber BleepingComputer verlauten ließ, bemerkten die DeadBolt-Angreifer den Trick innerhalb weniger Minuten. Daraufhin erfolgte eine Anpassung der Software. Vor der Freigabe eines Schlüssels zur Entschlüsselung eines NAS-Systems ist daher nun eine doppelte Bestätigung erforderlich. Die Masche lässt sich also nicht erneut ausnutzen. Offenbar hat diese Ransomware-Bande nicht ganz so viel Respekt vor der Polizei wie AvosLocker, über die wir im Januar berichteten.
Dennoch war es den Beamten in der kurzen Zeit möglich, 155 Schlüssel zu erbeuten. Damit konnten sie immerhin 90 % der niederländischen Opfer, die ihr durch DeadBolt verschlüsseltes NAS gemeldet hatten, eine kostenlose Entschlüsselung bereitstellen. Allen Betroffenen, die keine Anzeige erstattet haben, stellt die niederländische Polizei eine Plattform zur Verfügung. Darüber können sie jederzeit prüfen, ob sich ihre Dateien durch einen der erbeuteten Schlüssel entschlüsseln lassen.