Nederlandse CoinVault-verdachten lopen tegen de lamp

In samenwerking met Kaspersky Lab heeft de Nederlandse politie maandag 14 september jl. twee mannen (18 en 22 jaar) uit Amersfoort gearresteerd op verdenking van betrokkenheid bij CoinVault ransomware-aanvallen. De malware-activiteiten van de cybercriminelen waren vanaf mei vorig jaar aan de gang. Deze waren gericht tegen gebruikers in meer dan 20 landen. Kaspersky Lab heeft belangrijk onderzoek gedaan dat de National High Tech Crime Unit (NHTCU) van de Nederlandse politie hielp bij het opsporen en identificeren van de vermeende aanvallers. Ook Panda Security droeg bij aan het politieonderzoek door te wijzen op gerelateerde malware-versies.

CoinVault’s cybercriminelen probeerden wereldwijd tienduizenden computers te infecteren. De meeste slachtoffers waren afkomstig uit Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk. De aanvallers slaagden erin ten minste 1500 Windows-gebaseerde machines te vergrendelen, waarna bitcoins, de digitale munteenheid, van gebruikers werden geëist in ruil voor het decoderen van de bestanden.

De cybercriminelen, die verantwoordelijk zijn voor de ransomwarepraktijken, hebben hun creaties diverse malen proberen aan te passen, zodat ze zich konden blijven richten op nieuwe slachtoffers. Kaspersky Labs eerste onderzoeksrapport over CoinVault verscheen in november 2014, nadat de eerste voorvallen van het schadelijke programma in beeld kwam. De campagne stopte vervolgens tot april 2015, toen een nieuwe sample werd ontdekt. In dezelfde maand lanceerden Kaspersky Lab en de National High Tech Crime Unit (NHTCU) van de Nederlandse politie de website noransom.kaspersky.com, een gegevensbank metdecryptiesleutels. Bovendien werd een decryptie-applicatie online beschikbaar gesteld. Dit gaf CoinVault-slachtoffers de kans om hun gegevens weer terug te krijgen zonder de criminelen te hoeven betalen.

Kaspersky Lab werd vervolgens benaderd door Panda Security, dat informatie had gevonden over gerelateerde malware-versies. Uit Kaspersky Labs onderzoek van deze malware-versies bleken deze inderdaad te zijn gerelateerd aan CoinVault. Vervolgens werd een grondige analyse van alle verwante malware voltooid en doorgegeven aan de Nederlandse politie.

“In dit onderzoek speelde Kaspersky Lab een belangrijke rol, door ons te helpen de Coinvault-aanvallers te identificeren en te lokaliseren. Het blijkt maar weer hoe belangrijk de samenwerking tussen overheid en private partijen is. Dat leidt tot de vangst van meer criminelen”, zegt Thomas Aling, Woordvoerder Landelijke Eenheid van de Nederlandse politie.

“In april 2015 werd een nieuwe versie van CoinVault waargenomen. Interessant daaraan was dat de malware foutloze Nederlandse zinnen bevatte. Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs. Dit bleek later ook het geval te zijn. De gewonnen strijd tegen CoinVault was een gezamenlijke inspanning tussen wetshandhavers en particuliere bedrijven. We hebben een geweldig resultaat bereikt: de aanhouding van twee verdachten”, aldus Jornt van der Wiel, Security Researcher bijKaspersky Lab.

Om te voorkomen dat een computer besmet raakt met malware, adviseren de Nederlandse politie enKaspersky Lab gebruikers om ervoor te zorgen dat hun software en antivirusprogramma’s altijd zijn bijgewerkt. Bovendien moeten gebruikers regelmatig back-ups maken van waardevolle en/of belangrijke bestanden en de back-ups opslaan op een apparaat zonder internetverbinding. Tot slot moeten gebruikers nooit betalen – betaling motiveert cybercriminelen om door te gaan, en bovendien leidt het er niet altijd toe dat de bestanden daadwerkelijk worden vrijgegeven.

 

Reageer

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: