Hoje os ransomwares são uma das maiores preocupações para indivíduos, empresas e até mesmo governos. Entretanto, a polícia da Holanda encontrou uma maneira de enganar um grupo de hackers especialista neste tipo de ataque.
Segundo informações liberadas no dia 14 de outubro, o grupo DeadBolt criptografou mais de 20.000 computadores em todo mundo, incluindo 1.000 na Holanda, chamando a atenção de diversas forças policiais.
Em outras palavras, todos arquivos destas máquinas foram criptografados, sendo necessário o pagamento de um resgate para que os hackers liberasse os dados.
Hackers pediram 0,03 BTC (R$ 3.200) por cada máquina, mas não receberam nada
Com sistemas inutilizáveis pelos ransomwares, algumas empresas preferem pagar milhões para hackers liberarem seus arquivos. Já outras instituições optam por formatar todos seus computadores, mas isso também gera prejuízos.
Tais ataques parecem tão lucrativos para os hackers que já existem diversos grupos especializados. Um deles é chamado DeadBolt, conhecido por infectar mais de 20.000 computadores no mundo todo.
“Aviso: Seus arquivos foram trancados pelo DeadBolt. Envie um pagamento de exatamente 0,03000 bitcoin para o seguinte endereço.”
O pedido é de 0,03 BTC, equivalente a R$ 3.200, uma quantia grande para indivíduos e ainda maior para instituições com vários computadores infectados.
Polícia engana hackers cancelando transações
Apesar destes hackers serem profissionais, a polícia da Holanda encontrou uma maneira de receber as chaves para descriptografar os arquivos sem pagar aos criminosos.
O erro dos hackers foi liberar tais chaves sem esperar por nenhuma confirmação das transações. Ou seja, a polícia conseguiu cancelar as transações de Bitcoin, enviando os fundos para outro endereço.
“A polícia enviou os pagamentos, recebeu as chaves de descriptografia e depois retirou os pagamentos.”
Desta forma a polícia conseguiu 155 chaves sem pagar nada. Em outros números, conseguiram enganar os hackers em 4,65 BTC, equivalente a meio milhão de reais.
Tal iniciativa contou com a colaboração da empresa de segurança Responders.NU, que além de ter dado a dica sobre a técnica também criou uma página para tentar ajudar outras pessoas que tiveram seus computadores hackeados.
“Além de ajudar as vítimas, essa ação é um golpe doloroso para o DeadBolt: por causa desse elo fraco nos criminosos, eles tiveram que desligar o sistema às pressas.”
Por fim, fontes apontam que os hackers do DeadBolt agora estão esperando por confirmações da rede para liberarem as chaves. Aprenderam, mas o golpe deve ter deixado eles furiosos.
Cancelar transação de bitcoin?
Não existe forma de reverter uma transação confirmada na rede do bitcoin. No entanto, se a transação ainda não estiver confirmada, é possível cancelar ou alterar o destino usando o recurso Replace-by-Fee (RBF).
O RBF permite a criação de uma nova transação que substitui uma transação não confirmada. A nova transação terá uma taxa mais alta do que a transação não confirmada e, portanto, terá maior probabilidade de ser incluída no próximo bloco. A transação anterior será cancelada e os fundos serão devolvidos à carteira.
Neste caso em questão, os hackers enviavam a chave para descriptografar os arquivos automaticamente quando detectavam a transação de bitcoin com o valor do resgate.
Assim, a chave era enviada imediatamente sem esperar por uma confirmação da rede, foi aí que a polícia aproveitou para usar o RBF. Após receber a chave, cancelaram a transação imediatamente.