Nederlandse politie bemachtigt decryptiesleutels dankzij truc met bitcoin

De Nederlandse politie heeft meer dan 150 decryptiesleutels voor ransomware Deadbolt verkregen door met bitcoin te betalen en de betaling vervolgens weer in te trekken. In totaal zouden hierdoor 20 Nederlandse slachtoffers weer bij hun bestanden kunnen.

Nederlandse cybercrimeteams van de politie hebben dankzij een tip van Responders.NU de digitale sleutels voor versleutelde bestanden weten te bemachtigen. Door de gevraagde hoeveelheid bitcoin op een druk moment over te maken, zit er tijd tussen de goedkeuring van de verzending en de daadwerkelijke betaling. De politie verzond de digitale valuta echt, waarna de criminelen de decryptiesleutel verstuurden. Intussen werd de betaling weer ingetrokken, terwijl de politie slachtoffers inlichtte dat de versleutelde bestanden weer toegankelijk waren. De slachtoffers die aangifte hadden gedaan van de cyberaanval werden als eerste geholpen.

Volgens RTL Nieuws vroegen de cybercriminelen 0,05 bitcoin, omgerekend grofweg duizend euro, voor een decryptiesleutel voor ransomware Deadbolt. De betreffende software wordt gebruikt om nassystemen te 'gijzelen'. Onder meer opslagsystemen van QNAP en Asustor zouden kwetsbaar zijn voor Deadbolt. Wereldwijd zijn er volgens de politie zo'n 20.000 apparaten versleuteld met de software, waaronder ruim duizend systemen in Nederland.

IT-banen

Reacties (113)

Pianist1985 15 oktober 2022 19:57

En ook nog zo achterlijk zijn om de modus operandi en plein public van de daken te schreeuwen. De volgende keer accepteren ze alleen nog maar een betaling in de daluren.

Je moet je nooit in de kaart laten kijken.

klonic @Pianist1985 • 16 oktober 2022 12:22

Ik denk dat dit zodanig algemeen bekend is dat ze niet het gevoel hebben dat deze kennis beschermd hoeft te worden.

Deze criminelen hebben zich gewoon niet ingelezen. Googelen op

what do bitcoin confirmations mean

Had dit kunnen doen voorkomen. Dit is ook een reden waarom bitcoin niet echt geschikt is voor bijvoorbeeld boodschappen doen.

Maar het is überhaupt raar dat criminelen mainnet bitcoin willen gebruiken. Keer op keer gaat dat mis.

Greetzkenny @klonic • 17 oktober 2022 19:22

Bitcoin L1 is nooit bedacht om in de supermarkt te gebruiken. Bitcoin L2 maakt veel mogelijk, als ook andere L1s met wrapped versies van bitcoin zouden dergelijke betalingen kunnen doen.

Trinitronic @Pianist1985 • 16 oktober 2022 16:54

volgende keer accepteren ze alleen nog maar een betaling in de daluren

no clue

mxcreep @Pianist1985 • 19 oktober 2022 15:25

Die hadden nooit van Lightning Network gehoord

HENNESSY

15 oktober 2022 10:01

De stappen om dit te doen:

1. Stuur 0,05 bitcoin met een hele lage transactie fee
2. Laat de transactie zien aan de criminelen
3. Stuur nadat je de decryptiesleutel hebt ontvangen dezelfde 0,05 bitcoin met nieuwe transactie naar jezelf met een hogere fee.

Uitleg:
De lage transactie fee uit stap 1 zorgt ervoor dat de transactie vrijwel zeker niet in een bevestigd blok opgenomen zal worden, de nieuwe transactie in stap 3 met een hogere fee wel.

Slaut @HENNESSY • 17 oktober 2022 09:43

Dus wanneer transactie van stap 1 gedaan wordt na de transactie van stap 3, is de rekening al leeg?

Yongshi @Slaut • 17 oktober 2022 10:11

Dit is exact wat dit betekend inderdaad. En de oorzaak is de 'double spend' beveiliging van Bitcoin die ervoor zorgt dat alles maar 1 keer uitgegeven kan worden. Doordat dezelfde Bitcoin input nu is 'verbruikt' kan deze niet meer voor de originele transactie gebruikt worden en wordt deze dus afgekeurd door de nodes die de verwerking doen.

De hoogte van de fee is belangrijker voor het bepalen wanneer iets wordt uitgevoerd als het druk is, immers kunnen er maar een beperkt aantal transacties gedaan worden en pakken de nodes dus degenen die de meeste fee offeren. In daluren is er meer ruimte en pakken de nodes wat ze pakken kunnen aan openstaande transacties en volgt het meer de 'wie het eerst komt die het eerst maalt' en zal dit trucje dus minder kans hebben om te slagen.

Timmmeeehhh @HENNESSY • 18 oktober 2022 11:14

Moet je het wel doen op een moment dat het druk is. Op rustige tijden kom je zelfs met 1sat/vB nog wel relatief snel in een block.

Je kan dit checken op: https://mempool.space/

Momenteel zit er bijvoorbeeld een backlog aan transacties in de mempool, dus als je het nu met 1sat/vB doet zit je wel een tijdje te wachten.

Skit3000

14 oktober 2022 19:35

Trokken ze de transactie in, of deden ze gelijktijdig twee betalingen waardoor uiteindelijk de laatste niet geaccepteerd werd terwijl de maker van Deadbolt niet afwacht tot een betaling helemaal is bevestigd?

Een transactie intrekken kan met Bitcoin volgens mij namelijk helemaal niet...

[Reactie gewijzigd door Skit3000 op 24 juli 2024 17:05]

Yzord @Skit3000 • 14 oktober 2022 20:00

Klopt, je kan een bevestigende transactie op de blockchain niet terug draaien. Dus of de ontvangers zijn zo dom geweest of er wordt hier een beetje jofel op de borst geklopt.

Er vanuit gaande dat een block om de 10 minuten wordt gevonden krijg ik het vermoeden dat er een directe lijn tussen de politie en de boeven aanwezig is geweest. Want in die tien minuten (wat ook bij toeval langer kan zijn geweest) heeft men dus een txid aan de boeven overlegd, de boeven hebben niet eens op een confirm gewacht en meteen de decryptiesleutels gegeven.

Vanuit gaande van bovenstaande zin moeten het aardige noobs zijn geweest die achter de malware zitten of bespeur ik een vleugje van fake news. Iets klopt er iig niet.

Guru Evi @Yzord • 14 oktober 2022 20:22

Dezer dagen zijn de 'criminelen' gewoon een bedrijf. Het volledige proces is geautomatiseerd. Dus je wordt automatisch geinfecteerd, dat genereert een API call met een unieke key, ga naar hun website, tik de bitcoin code in of zelfs een VISA kaartnummer, je krijgt een unlock-code net zoals je een spelletje koopt bij Steam.

Net zoals een kredietkaart of een cheque betalen bij Steam is het dus mogelijk dat je transactie niet doorgaat of de bank het terugdraait, dat schrijven ze gewoon weg als een klein verlies en/of re-encrypten ze het systeem met een andere key, want ze hebben toch toegang.

Moest het een groot verlies worden, gaan ze wel anti-fraude toepassingen zoeken, zoals de computer openen maar bestanden enkel on-demand decrypten en dan een Internet verbinding vereisen totdat de transactie voltooid.

Jace / TBL

Bitcoin
cryptocurrency

@Guru Evi • 14 oktober 2022 22:00

Dezer dagen zijn de 'criminelen' gewoon een bedrijf. Het volledige proces is geautomatiseerd.

Dat neem ik ook aan ja. Des te dommer dat ze dan dat proces niet zo hebben ingericht dat er even een confirmation wordt afgewacht.

dasiro @Jace / TBL • 14 oktober 2022 23:04

tja, je zou denken dat een bende die exploits gebruikt de loopholes en exploits van hun eigen systeem ook al gevonden zouden hebben

kritischelezer @dasiro • 15 oktober 2022 17:48

Denk dat menig afperser gewoon software gebruikt die niet zelf ontwikkeld is.

Skyclad @dasiro • 15 oktober 2022 17:51

Waarschijnlijk hebben ze die exploits ook maar als kit gekocht, en zijn ze verder even technisch onderlegd als de gemiddelde politicus.

Marve79 @Jace / TBL • 15 oktober 2022 09:25

Ja ach 15 zijn er teruggedraaid misschien lukken de overige 1000 wel.

Guru Evi @Jace / TBL • 23 oktober 2022 06:38

Kunnen ze wel doen, maar dan zit de “klant” te wachten voor een situatie die zich eenmaal per duizend voordoen.

Zoals in mijn voorbeeld, het kan 3 dagen duren alvorens een VISA kaart een toelating krijgt voor overdracht van de bank, het kan 30-60 dagen duren alvorens de overdracht vastgelegd wordt.

Als verkoper heb je dus een keuze, laat je klanten “wachten” totdat de overdracht op jouw rekening staat (zie je al naar de supermarkt gaan en dan 3 dagen later mag je de melk oppikken) of je rekent het verlies voor die ene persoon per duizend die een gestolen kaart gebruikte door in de winstmarge.

Hier ook ging het over een paar duizend Euro voor een groep die miljoenen per maand binnenhaalt.

[Reactie gewijzigd door Guru Evi op 24 juli 2024 17:05]

thunder8 @Yzord • 15 oktober 2022 07:48

Dat er elke 10 minuten een blok gevonden wordt, wil niet zeggen dat jouw transactie in de eerstvolgende blok wordt verwerkt. Zoals het nieuwsbericht al aangaf, werden de transacties gedaan op een druk moment in de blockchain. Als je dan ook nog eens de betaling met een lage tx-fee aanbiedt, kan het wel een dag of langer duren, voordat die transactie daadwerkelijk wordt verwerkt/gefinaliseerd op de blockchain. Tot die tijd, heb je dus nog een mogelijkheid om de transactie in te trekken. Bitcoin heeft al meerdere momenten gekend waarbij het aantal wachtende transacties oplopen, omdat het netwerk niet dergelijke hoeveelheden kan verwerken. De eerste keer dat ik mijn bitcoins deels wilde uitkeren naar fiat, moest ik zelfs met een omgerekende 128€ tx-fee alsnog meer dan 4 uur wachten voordat de tx bevestigd was. Op het slechtste moment konden transacties met standaard fee zelfs meerdere dagen duren. Als je snel wil sturen/conformatie wil binnen een paar seconden/minuten, dan moet je een chain kiezen die een veel hogere TX-rate heeft.

Het is niet slim van de criminelen om niet x aantal bevestigingen op het netwerk af te wachten. Dan kan de transactie niet meer ongedaan worden gemaakt. Goed voor de slachtoffers, die nu zonder te betalen toch weer toegang hebben tot hun data.

GekkePrutser @Yzord • 14 oktober 2022 21:16

Misschien hebben ze een fake betaling gestuurd vanaf een wallet die niet genoeg geld had? In dat geval zie je de betaling wel in de blockchain maar krijg je natuurlijk geen bevestigingen.

Wat me dan wel verbaast is dat ze hetzelfde trucje 20x hebben kunnen doen. Als er in diezelfde periode 20 betalingen binnenkomen dan gaat er bij de 'boeven' toch ook wel een belletje rinkelen zou je zeggen. En als ze te lang wachten dan is het duidelijk wat er gebeurt.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 17:05]

Jace / TBL

Bitcoin
cryptocurrency

@GekkePrutser • 14 oktober 2022 21:59

Misschien hebben ze een fake betaling gestuurd vanaf een wallet die niet genoeg geld had?

Dat kan niet. Een betaling die niet klopt wordt door alle nodes in het netwerk simpelweg genegeerd. Dus zo'n betaling krijg je niet eens het netwerk op.

=In dat geval zie je de betaling wel in de blockchain maar krijg je natuurlijk geen bevestigingen.

In de blockchain al helemaal niet, wat er in de blockchain staat is per definitie alleen wat er bevestigd is. Jij bedoelt de memory pool, daar staan de 'pending' transacties die kandidaat zijn om in het volgende block te worden opgenomen.
Nou is er niet één memory pool, in principe heeft elke node zijn eigen memory pool. Maar zo'n invalide betaling (niet genoeg coins, niet je eigen coins, ongeldige signature, enz) wordt door geen een node doorgegeven. Dus die komt ook nooit in andermans memory pool.

Wat me dan wel verbaast is dat ze hetzelfde trucje 20x hebben kunnen doen. Als er in diezelfde periode 20 betalingen binnenkomen dan gaat er bij de 'boeven' toch ook wel een belletje rinkelen zou je zeggen. En als ze te lang wachten dan is het duidelijk wat er gebeurt.

Waar lees je die 20x?
Dat zou inderdaad wel heel dom zijn van die criminelen. Maar dat is het accepteren van unconfirmed transacties in dit geval sowieso.

n0np3r50n @Jace / TBL • 15 oktober 2022 15:53

Lightening voortaan gebruiken...

Jace / TBL

Bitcoin
cryptocurrency

@n0np3r50n • 16 oktober 2022 14:02

Is voor dit soort toepassingen minder geschikt want
1. in tegenstelling tot een normale Bitcoin transactie moet voor een Lightning transactie de ontvanger online zijn,
2. voor grotere bedragen werkt Lightning nog niet zo goed i.v.m. beperkte liquiditeit in veel kanalen.

n0np3r50n @Jace / TBL • 16 oktober 2022 15:46

Bedankt is je IP adres dan ook bekend?

Is de circa 1000 euro dan toch aan de hoge kant?

Jace / TBL

Bitcoin
cryptocurrency

@n0np3r50n • 16 oktober 2022 17:27

Bedankt is je IP adres dan ook bekend?

Niet om een betaling te doen, dan hoef je alleen een lightning invoice te geven die de betaler kan betalen. Diens node zoekt dan een indirect path via andere nodes om de invoice te voldoen.

Om connectie met het Lightning Network te hebben moeten ze in principe hun node adres publiceren, dat is zeg maar een public key + IP adres. Maar dat kan ook over Tor, dan publiceer je een .onion adres, dus blijft je IP adres afgeschermd. En er zijn nog andere trucjes voor (zoals je Lightning verkeer door een VPS tunnelen en daarvan het IP publiceren).

Is de circa 1000 euro dan toch aan de hoge kant?

Ik zou verwachten dat dat nog wel prima gaat via Lightning. Wil je bijvoorbeeld €10K of meer sturen, dan zou ik een on-chain transactie doen. Er zit geen bovengrens aan hoeveel je via Lightning kunt versturen, maar als je geen rechtstreeks kanaal hebt naar de ontvanger moet je over andermans kanalen heen gaan, en ben je afhankelijk aan hoeveel liquiditeit zij er in hebben zitten. In de praktijk wordt het dan langzamer of duurder. Lightning is vooral geschikt voor wat kleinere, alledaagse bedragen.

n0np3r50n @Jace / TBL • 16 oktober 2022 18:58

Bedankt voor de uitleg. Het is een tijdje geleden dat ik naar deze techniek keek. Dus eigenlijk hadden de daders toch een lightening adres kunnen gebruiken?

netfast @n0np3r50n • 17 oktober 2022 09:40

Dat hadden ze kunnen doen.

Maar met zoveel "inkomende" liquiditeit is het wel lastig om een Lightning node te draaien.
Of ze moeten weer veel "loop out" of Bolt oid gebruiken om vanuit Lightning weer naar onchain te gaan.
maar dat is kostbaar, al zal dat in deze situatie weinig uitmaken voor ze.

anboni @Yzord • 14 oktober 2022 20:16

aardige noobs zijn geweest die achter de malware zitten

Dat, of ze gingen ervan uit dat de partij waarmee ze aan het handelen waren noobs waren. Best kans dat ze hier van leren en in het vervolg de keys pas afgeven als er daadwerkelijk een x aantal confirms op de chain staat.

Rinzwind @anboni • 16 oktober 2022 05:06

In dit geval dom om het de media in te gooien. Geen slapende honden wakker maken etc.

Jim80 @Yzord • 14 oktober 2022 20:26

Er vanuit gaande dat een block om de 10 minuten wordt gevonden krijg ik het vermoeden dat er een directe lijn tussen de politie en de boeven aanwezig is geweest. Want in die tien minuten (wat ook bij toeval langer kan zijn geweest) heeft men dus een txid aan de boeven overlegd, de boeven hebben niet eens op een confirm gewacht en meteen de decryptiesleutels gegeven.

Als je op een druk moment verstuurt aan de minimum fee van 1 sat/b, kan het gerust uren tot dagen duren voordat die transactie bevestigd wordt. Geen 10 minuten dus.

Dat ontvangstproces zal wel geautomatiseerd geweest zijn... Ongetwijfeld is dat script al aangepast om op 1 of meer confirmations te wachten.

Thijsmans @Skit3000 • 14 oktober 2022 19:43

Zolang de transactie nog niet door de node is doorgegeven aan de blockchain, zou dat wel moeten kunnen. Vandaar de keuze voor het drukke moment.

pennywiser @Thijsmans • 14 oktober 2022 20:22

En dan hebben ze een screenshot als bewijs gestuurd? Want als het niet is doorgegeven aan de blockchain ziet ook niemand het.

shortestpath @pennywiser • 14 oktober 2022 20:50

Als je een transactie naar een node stuurt, zal die hem doorsturen naar de andere nodes in het netwerk. De nodes slaan de ontvangen transacties tijdelijk op, tot ze worden bevestigd en dus aan de blockchain worden toegevoegd. Deze verzameling van onbevestigde transacties wordt de mempool genoemd en is zichbaar voor iedereen, bijv. op: https://mempool.space/

Jace / TBL

Bitcoin
cryptocurrency

@Skit3000 • 14 oktober 2022 21:51

Klopt, een transactie terugtrekken bestaat niet. Hooguit een tweede, conflicterende transactie er achteraan sturen en hopen dat die confirmed wordt in plaats van de eerste. De kans dat dat lukt is groter als de transaction fee van die tweede transactie hoger is dan de eerste. Want bij twee conflicterende transacties moet een miner kiezen welke hij confirmed, en dan is het logisch dat een miner degene neemt waar hij het meest aan verdient.

windows8fan @Jace / TBL • 15 oktober 2022 13:03

Hoe creëer je zo'n conflicterende transactie dan? Zoveel parameters heb je toch niet als je een transactie doet?

Jace / TBL

Bitcoin
cryptocurrency

@windows8fan • 15 oktober 2022 13:25

Maak een transactie waarin je je coins naar adres A stuurt.
Maak tevens een transactie met een hogere transactie fee waarin je diezelfde coins naar een ander adres B stuurt.
A is in dit geval van de Deadbolt boeven, en B is van de politie zelf.
Gooi de eerste transactie het netwerk op. De boeven zien deze transactie in de memory pool verschijnen, en denken: OK ze hebben de coins verstuurd, hier zijn de decryptiesleutels.
Op dat moment gooit de politie de tweede transactie het netwerk op (nog voordat die eerste is confirmed c.q. in de blockchain opgenomen). De meeste nodes denken nu: hee, ik heb hier twee tegenstrijdige transacties, hiervan kan er uiteindelijk maar één confirmed worden, welke zal ik bewaren en welke zal ik weggooien? Miners zullen altijd voor de tweede transactie kiezen vanwege de hogere fee.

mesm90 @Skit3000 • 14 oktober 2022 22:17

Een transactie kan je cancellen zolang deze nog niet door de blockchain is goedgekeurd.
Een transactie word pas goedgekeurd nadat deze door 3 nodes is bevestigd (bij BTC dan)
Of als er een lage fee word meegegeven dan verschijnt deze al wel, maar kan het langer duren voordat goedkeur plaatsvind, op deze manier heb je speling om de boel te annuleren.

HENNESSY

@mesm90 • 15 oktober 2022 11:25

Een transactie word pas goedgekeurd nadat deze door 3 nodes is bevestigd (bij BTC dan)

Zo werkt BTC niet. Een transactie is bevestigd zodra deze in een blok zit. Als na dat blok nog een blok wordt bevestigd dan heeft de transactie 2 bevestigingen, na 3 blokken 3 bevestigingen, na 50 50 etc. Het heeft dus niks met het aantal nodes te maken.

Hoe meer bevestigingen (blokken), hoe minder kans dat deze teruggedraaid kan worden. Het is aan de ontvanger om te bepalen hoeveel bevestigingen voldoende is, vaak zie je 1, 2 of 3.

rwielinga @Skit3000 • 15 oktober 2022 09:25

Een wallet geeft al heel snel aan dat een transactie in de mempool staat. Dit is de wachtrij voor de miners die transacties in blokken stoppen, het feitelijke minen. Op dat moment zit de transactie pas in de blok chain.

Zolang de transactie in de mempool zit kan je hem intrekken of de transactie fee aanpassen.

Voor kleine transacties wacht de ontvanger normaal gesproken tot deze in de blockchain is bevestigd (toegevoegd aan de blockchain) een voor grotere transacties wacht je op meerdere bevestigingen (er zitten meerdere blokken na jouw transactie). Vanwege het gedistribueerd karakter kunnen twee miners op hetzelfde moment aan ander blok aan de keten toevoegen.

De criminelen hebben dus niet gewacht tot de transactie op de blockchain stond.

supersnathan94

Politiek en recht

@Skit3000 • 15 oktober 2022 15:59

Nou officieel is de transactie nog helemaal niet uitgevoerd en op het moment dat de transactie wordt geprobeerd is die wallet al leeg en faalt de validatie.

Ascension 14 oktober 2022 19:39

Hele goede actie van de Politie! Vraag me echter wel af waarom ze dit aan de grote klok hangen want de boeven gaan nu natuurlijk wachten tot de transactie volledig voltooid is alvorens de sleutel vrij te geven.

Netrunner @Ascension • 14 oktober 2022 19:42

Diezelfde boeven zitten allemaal samen op privé fora. Het zou hoe dan ook gedeeld worden. Kan me enigzins ook wel eem wraakactie terug verwachten. Zullen ze zich gewonnen geven?

mikeyfire643 @Ascension • 14 oktober 2022 22:40

Ze hadden het al ontdekt op die avond. Werd uitgelegd op of nos of rtl nieuws. De truc werkt alleen als het netwerk erg druk is. Dus je kunt iets doen met transactie voordat hij confirmed is.

laptopleon

Politie

@Ascension • 15 oktober 2022 11:19

De criminelen weten het toch snel genoeg en intussen haalt dit mooi het nieuws, wat aandacht oplevert dus preventief werkt.

Want 100% voorkomen kun je dit soort ongein toch niet, maar het publiek informeren over de risico’s en mogelijkheden wel.

Zelf heb ik het een en ander op DVD/BRD gebrand. Dat is beschermd tegen ongewenste encryptie, want ligt read only in de kast. Maar dat gaat ook kapot, alleen dan van ouderdom, dus ik ga het naar een hd halen. Dan moet je die wel dubbel uitvoeren om beschermd te zijn etc.

eliasje 14 oktober 2022 20:10

150 sleutels ongeveer en 20 mensen mee gered.Dit geeft hoop voor mensen die er nog last van hebben.

Ramoncito @eliasje • 14 oktober 2022 21:21

Hoe meer sleutels, hoe meer kans op het kunnen maken van een sleutelgenerator?

Jace / TBL

Bitcoin
cryptocurrency

@Ramoncito • 14 oktober 2022 22:02

Daar zou ik niet op rekenen. Tenzij ze het echt heel, HEEL erg dom hebben aangepakt, zijn die sleutels in principe gewoon random.

ShadLink @Jace / TBL • 15 oktober 2022 15:47

Random bestaat niet

elke vorm van RNG is te herleiden naar de bron. Helemaal als je veel resultaten en tijdstippen hebt.

Jace / TBL

Bitcoin
cryptocurrency

@ShadLink • 16 oktober 2022 13:59

Of random werkelijk niet bestaat is een fundamentele natuurkundige kwestie. Voor ons als universumbewoners zijn bepaalde processen echt random dankzij Heisenbergs onzekerheidsprincipe. In computers bestaat het in principe niet (tenzij..) maar dan nog is er genoeg entropie te verzamelen waardoor het volstrekt onmogelijk te herleiden is naar een bron of seed, noch te onderscheiden van echt random.

Bijvoorbeeld als ze zo'n key genereren als een pseudo random hash van /dev/urandom, de actuele tijd in microseconden, de tijd sinds het opstarten in microseconden, toetsaanslagen en muisbewegingen van de gebruiker (eveneens met timing in microseconden), enzovoort. Dat ga je nooit en te nimmer herleiden, al heb je een biljoen samples.

HoeZoWie @eliasje • 15 oktober 2022 09:53

150 sleutels ongeveer en 20 mensen mee gered. Dit geeft hoop voor mensen die er nog last van hebben.

Vind je?
Ik vind het raar dat er 150 sleutels zijn gekocht, om louter 20 te kunnen omzetten.
Bij mij zou 150:150 een redelijk aantal zijn.
Schijnbaar wordt de decrypt key koper daar in ook nog eens opgelicht.

[Reactie gewijzigd door HoeZoWie op 24 juli 2024 17:05]

eliasje @HoeZoWie • 15 oktober 2022 19:44

ik denk niet dat ze weten welke sleutel bij welke versleutelting hoort en dus alle sleutels proberen en als werkt heb je geluk zeg maar.

ArjenB64 14 oktober 2022 19:37

Goed nieuws! Hopelijk komt er binnenkort een mogelijkheid om de versleutelde deadbolt-bestanden op mijn Asustor NAS ontsleutelen.

Helaas: gelijk geprobeerd op https://deadbolt.responders.nu/ met als antwoord key NOT FOUND

[Reactie gewijzigd door ArjenB64 op 24 juli 2024 17:05]

GekkePrutser @ArjenB64 • 14 oktober 2022 21:21

Kan je wat meer vertellen over hoe die NAS gehackt is? Stond hij open naar internet met een vulnerability? Of waren er hacks bij Asus zelf?

Edit: Oh hier staat al wat: nieuws: Gebruikers Asustor-nassystemen melden infecties met Deadbolt-ransomwa...

Maar ik ben wel benieuwd naar het praktijkverhaal er achter. Moest hij echt open staan naar internet bijvoorbeeld.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 17:05]

ArjenB64 @GekkePrutser • 14 oktober 2022 23:03

Ik had wat dingen als een webserver en mediaserver op de NAS draaien (bereikbaar vanaf internet, lekker makkelijk toch) met de standaard beveiliging van Asustor. Die beveiliging bleek niet zo sterk te zijn. De zelfgemaakte accounts en wachtwoorden waren niet voldoende.
Gelukkig waren niet alle bestanden versleuteld en had ik vooral back-ups op de NAS staan waar ik de originelen ook nog van heb. De gevolgen vielen voor mij wel mee. En je leert er wel van

Ik heb de deadbolt bestanden bewaard voor als er nog eens een algemene sleutel komt. Vandaag had ik even de hoop dat het zover was.

phoenix2149 @ArjenB64 • 14 oktober 2022 22:05

Klote zeg!

Wij hadden geluk. Of beter vrienden van mij. Daarvan kon ik de NAS updaten en was de Lock Screen weg. Daarna schaduw kopie terug kunnen zetten.

Dit was met een qnap NAS die via de PC tool nog een update kon draaien en de kwetsbaarheid verhielp, omdat dit gelijk de AV inschakelde en de bot verwijderde (althans dit is wat ik begrepen heb vanuit de fora waar ik deze oplossing gevonden heb)

Daarna gekeken hoe het netwerk was ingericht bleek de SSH poort naar WAN was doorgeschakeld op de router. Hoewel de admin wachtwoord niet default was misschien toch niet zo verstandig. Dus heb SSH poort gewijzigd naar 2222 en de forwarding dicht gegooid.

Tevens ook online back up ingesteld (iDrive).

Wat een gedoe. En dat bericht ook. Het is geen persoonlijke aanval het is om te laten zien dat je fabrikant/device niet veilig is. Maar wel €1200 vragen.

Jace / TBL

Bitcoin
cryptocurrency

14 oktober 2022 21:49

Prachtig, hebben die klunzen de decryptiesleutels al verstuurd voordat de transactie confirmed was. Als ze nou gewoon even 10 minuten hadden gewacht

Overigens wel een riskant spelletje van de politie. Als die boeven een "child pays for parent" transactie er achteraan hadden gedaan, waarmee de coins die de politie had verstuurd nog een keer verder worden gestuurd met een hele hoge fee, dan is er voor de miners een grotere incentive om die transacties in hun block op te nemen dan de vervangende transactie die de politie daarna stuurde.

Verwijderd @Jace / TBL • 14 oktober 2022 22:47

Heel waarschijnlijk is dit gewoon geautomatiseerd vooral omdat het om relatief lage bedragen gaat, er zit dus niemand te wachten of handmatig betalingen te controleren.

klonic @goDiegogo • 16 oktober 2022 12:29

Nouja, het gaat dus om 150 betalingen van ongeveer 1000€ dat maakt elke betaling ongeveer 0.667%. Mogelijk is er nog een veelvoud waarbij het wel gelukt is. Als jij dus 1500 bitcoin betalingen verwacht dan wil je dat inderdaad waarschijnlijk automatiseren.

Overigens gaat het dus ook niet om jou salaris maar om dat van de criminelen.

Bulls @goDiegogo • 15 oktober 2022 10:27

Op ransomware zit vaker een veel hogere prijs. Ligt natuurlijk wel aan wie ze gijzelen.

Verwijderd @goDiegogo • 15 oktober 2022 14:09

Voor een (criminele) organisatie is 1K waarschijnlijk helemaal geen groot bedrag, als Shell of Ahold 1000 euro gaat uitgeven gaan ze waarschijnlijk geen handtekening halen bij de CEO, heel waarschijnlijk kan iedereen dat gelijk autoriseren tot een bedrag van 5k bijvoorbeeld voordat een manager ook toestemming moet geven. Pas bij miljoenen gaan ze naar de CEO toe.

Voorbeeldje waar ik werk kopen we ongeveer voor 250K per jaar aan nieuwe hardware aan en we proberen de "assets" boven 98% correct bij te houden, dat betekend dus dat als we minder dan 2% per jaar niet vermist/gestolen word we goed zitten.

Die 2% is 5000 euro voor jou waarschijnlijk heel veel geld maar zoals je ziet voor een beetje bedrijf niet eens de moeite om er heel hard achteraan te gaan.

goDiegogo @Verwijderd • 16 oktober 2022 15:48

Ja inderdaad, het klopt wat je zegt een is ook wel gebruikelijk denk ik.
Maar waar ik zo van schrik is dat men het hier zo normaal vind.
Waar ik het dan misschien te hoog clasificeer lijkt mij aan de reacties dat de helft hier dader zou kunnen zijn.
Het zou mijns inziens veel harder aangepakt moeten worden want het mag nooit normaal worden.

Als je op straat beroofd wordt heb je nog de kans om je te verweren en de dader en lesje te leren maar digitaal kun je als normaal mens helemaal niks.

Verwijderd @goDiegogo • 16 oktober 2022 21:41

Waar ik het dan misschien te hoog clasificeer lijkt mij aan de reacties dat de helft hier dader zou kunnen zijn.

Wat een vreemde redenering is dit, iedereen begrijpt hier dat criminelen illegaal geld willen verdienen met ransomware, maar niemand vind dit "normaal" of goed ik lees die reactie nergens, en waarom zouden die mensen de dader kunnen zijn?

Als je op straat beroofd wordt heb je nog de kans om je te verweren en de dader en lesje te leren maar digitaal kun je als normaal mens helemaal niks.

[quote]
Ook een hele vreemde redenering dus op straat beroofd worden is dan beter, meer eervol, eerlijker? Maar als net dan een vrouw is, of een oud heel lief omatje is het dan erger?

Tip voor de toekomst je moet geen leed met elkaar vergelijken, beide is extreem stressvol voor het slachtoffer online opgelicht of overvallen worden. Hoe dat overkomt kan per persoon verschillen maar je moet dat nooit bagatelliseren in een vergelijking.

CopyCatz 14 oktober 2022 19:34

Voor een politiesalaris zulke slimme dingen verzinnen; die lui verdienen sowieso te weinig. Hulde.

deneys @CopyCatz • 15 oktober 2022 09:50

Deze truuk wereldkundig maken is dan weer niet zo slim.

Masta72 @CopyCatz • 14 oktober 2022 19:42

Slimme dingen? De oudste truuk uit het toverdoosje. Je zit zeker niet in crypto?

SkyStreaker @Masta72 • 14 oktober 2022 20:15

Kwestie van gelegenheid gebruiken waar de criminele partij niet op voorbereid was, is gewoon gehaaid en het resultaat ten faveure van de slachtoffers. Een oude truc, geëxploiteerd.

[Reactie gewijzigd door SkyStreaker op 24 juli 2024 17:05]

evilution 15 oktober 2022 07:18

Hoeveel tijd zit daar tussen? M.a.w. Als ik de gijzelnemer ben, hoe lang moet ik dan wachten met vrijgeven om zeker te weten dat de betaling niet meer terug te draaien is?

Dit is natuurlijk ook zinnig om te weten bij legale transacties

HENNESSY

@evilution • 15 oktober 2022 09:43

Gemiddeld is er iedere 10 minuten een blok met bevestigde transacties. Hoe langer je wacht (meer blokken) hoe hoger de zekerheid is dat het niet meer terug te draaien is.

klonic @HENNESSY • 16 oktober 2022 12:25

Als je 0 transactiefee instelt en je mempool (wachtrij) is niet leeg, dan heb je HEEL VEEL tijd.

Bij Ethereum zag je tijdens de NFT hype dat sommige transacties een half jaar bleven wachten.

Het is dus ook raar dat het die criminelen niet is opgevallen dat ze hun bitcoin nog niet echt in bezit hadden.

[Reactie gewijzigd door klonic op 24 juli 2024 17:05]

Verwijderd 14 oktober 2022 19:39

Ergo ze verstuurde de keys al terwijl de betaling nog enigzins verwerkt had moeten worden.

Ook een truucje dat je maar 1x toepast. De volgende groep criminelen wil het eerst op hun wallets zien staan.

secretqwerty10 @Verwijderd • 14 oktober 2022 19:54

Ook een truucje dat je maar 1x toepast. De volgende groep criminelen wil het eerst op hun wallets zien staan.

In totaal zouden hierdoor 20 slachtoffers weer bij hun bestanden kunnen

Blijkbaar niet de eigenaren van Deadbolt

[Reactie gewijzigd door secretqwerty10 op 24 juli 2024 17:05]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (113)

Sorteer op:

Weergave: