Misdaad loont niet, is een bekend gezegde. Cybercrime en dan vooral het relatief makkelijke ransomware lijkt wel te lonen. Verse arrestaties in Nederland spreken die notie echter tegen. Verdachten achter de CoinVault-ransomware krijgen nu de rekening gepresenteerd.
Formeel zijn de twee mannen (18 en 22 jaar) uit Amersfoort verdacht van betrokkenheid bij de omvangrijke CoinVault-operatie. Bij die internationale ransomwarecampagne zijn meer dan 1500 Windows-pc’s besmet met malware die daar vervolgens kostbare bestanden heeft gegijzeld. Zo’n digitale gijzeling gebeurt met krachtige encryptie waardoor de versleutelde bestanden niet langer toegankelijk zijn voor de eigenaren. Tenzij die slachtoffers losgeld betalen aan de afpersers.
Samen sterk staan
CoinVault heeft in meer dan twintig landen huisgehouden, zo blijkt uit ons uitgebreide onderzoek naar deze ransomware. In samenwerking met de National High Tech Crime Unit (NHTCU) van de Nederlandse politie zijn nu de vermoedelijke afpersers gelokaliseerd en geïdentificeerd. Onze collega’s van Panda Security hebben ook meegewerkt aan deze opsporingsoperatie door diverse samples van de gebruikte malware aan te dragen.
De cybercriminelen achter CoinVault hebben hun malafide software namelijk diverse keren gewijzigd om telkens nieuwe slachtoffers op de korrel te kunnen nemen. Zo hebben ze geprobeerd tienduizenden computers wereldwijd te infecteren met hun gijzelingssoftware. Het merendeel van hun slachtoffers bevindt zich in Nederland, Duitsland, de Verenigde Staten, Frankrijk en Groot-Brittannië. Zeker 1500 pc’s zijn met succes gegijzeld, waarna de slachtoffers losgeldeisen in Bitcoins voor ogen kregen.
How does Kaspersky Internet Security protect you from #ransomware? – http://t.co/7drBP7PWxL pic.twitter.com/f5BDXJOC47
— Kaspersky (@kaspersky) May 23, 2015
Vloeiend Nederlands
CoinVault is ons vorig jaar al opgevallen, onder meer doordat het de onderscheidende eigenschap had dat het een gratis ‘voorproefje’ gaf aan slachtoffers. Zij konden één gegijzeld bestand gratis ontsleutelen. Dit als teken van goede wil. Daarnaast schakelt deze ransomware Windows’ automatische back-updienst VSS (volume shadow copy) uit.
De CoinVault-aanvallen werden eind vorig jaar – na onze onthullingen erover – plots stilgelegd, maar in april dit jaar is een nieuwe variant gedecteerd. Een variant met vloeiend Nederlands taalgebruik in de code. Dat er een ‘Dutch connection’ moest zijn, was duidelijk. Want het is voor buitenstaanders relatief moeilijk om foutloos Nederlands te schrijven. En dat zette ons op het spoor van de daders, ergens in ons eigen land.
Learn how to remove CoinVault ransomware and restore your lost files – http://t.co/OB02O372Yy pic.twitter.com/QjwzvIdKnz
— Kaspersky (@kaspersky) April 17, 2015
Betaling voorkomen
In diezelfde maand dat de nieuwe variant met Nederlandse inhoud is ontdekt, hebben wij in samenwerking met de Nederlandse politie de gratis ‘databevrijdingssite’ NoRansom opgezet. Daar hebben we in beslag genomen decryptiesleutels klaarstaan om CoinVault-slachtoffers te helpen. Naast de ‘sleutels’ bieden we ook een gratis downloadbare decryptie-app. Dit alles om betaling van losgeld te voorkomen.
Want cybercriminelen die ransomware inzetten, maken zich schuldig aan afpersing omdat het ze geld oplevert. We adviseren slachtoffers echter om hun afpersers nooit te betalen, want vaak krijg je hiermee je bestanden niet terug en daarnaast motiveert betaling cybercriminelen om hun werk voort te zetten. En dat moet niet het geval zijn. Misdaad hoort niet te lonen, ook cybercrime niet. De gelegenheid maakt de dief, om af te ronden met een ander gepast gezegde, maar niet als het aan ons en de politie ligt.