l+f: Polizei ergaunert mehr als 150 Deadbolt-Schlüssel
Die Drahtzieher hinter der Deadbolt-Ransomware sind einer Masche der niederländischen Polizei aufgesessen. Über 150 Entschlüsselungs-Keys konnte die ergattern.
(Bild: WhataWin/Shutterstock.com)
Die niederländische Polizei berichtet von einer erfolgreichen Aktion, um an Entschlüsselungs-Keys der Deadbolt-Ransomware zu gelangen. Die Drahtzieher dahinter haben den Strafverfolgern dabei aus Versehen über 150 solcher Schlüssel geschenkt. Dadurch konnte diesen Betroffenen bei der Entschlüsselung ihrer von der Malware gekaperten Daten geholfen werden.
Es handelte sich um eine konzertierte Aktion der Tippgeber des IT-Sicherheitsunternehmens responders.nu, der niederländischen Polizei sowie der Staatsanwaltschaft, Europol, der französischen Nationalpolizei und der französischen Gendarmerie. Dabei konnten die Beamten fast 90 Prozent der Schlüssel von Opfern erlangen, die Anzeige in einem der dreizehn Länder gestellt hatten, die vor der Aktion Informationen geteilt haben.
Schwachstelle Ungeduld
Der Trick, den die Polizisten genutzt haben, war denkbar einfach: Sie haben eine Zahlung in Bitcoin angewiesen. Daraufhin haben sie die Entschlüsselungs-Keys erhalten. Dann haben sie ganz schnell die Zahlung rückgängig gemacht. Das geht, da eine finale Bestätigung der Transaktion aufgrund des geringen Durchsatzes erst verzögert ankommt.
Die niederländische Polizei scheint jedoch nicht ganz zufrieden zu sein. "Unglücklicherweise finden in diesem Fall nicht alle Schlüssel ihren direkten Weg zurück zu den Opfern. Opfer, die keine Anzeige erstattet haben, können nicht immer schnell identifiziert werden, was es erschwert, sie mit ihrem Schlüssel zu versorgen."
Die Aktion zeige deshalb, dass es hilfreich sei, Anzeige zu erstatten bei Ransomware-Befall. Opfer, die Anzeige erstattet haben, wurden priorisiert behandelt. Ihre Schlüssel waren die ersten, die die Strafverfolger ergatterten. Die IT-Sicherheitsfirma responders.nu hat eine Webseite online gestellt, auf der Opfer nachsehen können, ob ihr Schlüssel unter den ergaunerten ist.
Weitere Nebeneffekte
Die niederländische Polizei teilt in ihrer Meldung weiter mit, dass neben der Hilfe für die Opfer die Aktion für die Cyberkriminellen hinter Deadbolt einen empfindlichen Schlag bedeutetet. Aufgrund einer Schwachstelle in ihren Operationen mussten sie ihr System herunterfahren. Zudem dürfte ihnen nun klar sein, dass sie im Visier internationaler Strafverfolger sind. Versuche, ihre kriminellen Einkünfte zu verschieben, sind nicht ohne Risiko.
Die Deadbolt-Ransomware hat immer wieder insbesondere Netzwerkspeicher von Qnap zum Ziel. Gelegentlich greifen die Drahtzieher jedoch auch NAS von anderen Anbietern an, etwa von Asustor.
(dmk)
