W ubiegły poniedziałek, 14 sierpnia 2015 r., holenderska policja aresztowała dwóch mężczyzn (w wieku 18 i 22 lata) z holenderskiej miejscowości Amersfoort pod zarzutem zaangażowania w ataki z wykorzystaniem szkodliwego oprogramowania szyfrującego CoinVault. Ta operacja cyberprzestępcza rozpoczęła się w maju 2014 r., a atakujący wzięli na celownik użytkowników z ponad 20 krajów.
Kaspersky Lab miał istotny wkład w badania wykorzystane w pracach dochodzeniowych jednostki National High Tech Crime Unit (NHTCU) holenderskiej policji, w wyniku których zlokalizowano i zidentyfikowano osoby podejrzane o cyberataki. W badanie była także zaangażowana firma Panda Security, która dostarczyła kilka próbek szkodliwego kodu.
Cyberprzestępcy stojący za operacją CoinVault próbowali infekować dziesiątki tysięcy komputerów na całym świecie. Większość ofiar zlokalizowano w Holandii, Niemczech, Stanach Zjednoczonych oraz Wielkiej Brytanii. Atakujący zablokowali ponad 1 500 komputerów z systemami Windows, żądając zapłacenia okupu w walucie Bitcoin za przywrócenie dostępu do danych.
Grupa CoinVault kilkukrotnie modyfikowała swoje szkodliwe programy, by zwiększyć zasięg oraz liczbę ofiar. Wstępny raport Kaspersky Lab dotyczący tego zagrożenia został opublikowany w listopadzie 2014 r., po wykryciu pierwszej próbki szkodliwego kodu. Działania osób stojących za operacją CoinVault zostały wówczas wstrzymane aż do kwietnia 2015 r., gdy wykryto nową próbkę szkodnika. Tego samego miesiąca Kaspersky Lab wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji uruchomił stronę noransom.kaspersky.com zawierającą bazę kluczy deszyfrujących oraz aplikację pozwalającą ofiarom szkodnika odzyskać zablokowane dane bez płacenia okupu cyberprzestępcom.
Niedługo po tym z Kaspersky Lab skontaktowali się specjaliści z firmy Panda Security, którzy zidentyfikowali dodatkowe próbki szkodliwego kodu. Badanie przeprowadzone przez Kaspersky Lab wykazało, że próbki te są powiązane z operacją CoinVault. Następnie eksperci z Kaspersky Lab przeprowadzili dalszą analizę wszystkich zgromadzonych szkodliwych programów i przekazali wyniki holenderskiej policji.
– Holenderska policja regularnie współpracuje z firmami prywatnymi. W tym przypadku ważną rolę odegrali specjaliści z Kaspersky Lab, którzy pomogli nam w zidentyfikowaniu i zlokalizowaniu osób stojących za atakami CoinVault. Jest to kolejny dowód na to, że działając razem, możemy jeszcze skuteczniej łapać cyberprzestępców – powiedział Thomas Aling z holenderskiej policji.
– W kwietniu 2015 r. wykryliśmy nową próbkę CoinVaulta. Co ciekawe, kod zawierał frazy napisane bezbłędnym holenderskim. Jest to dość trudny język, zatem od początku podejrzewaliśmy, że osoby stojące za tymi atakami są Holendrami lub przynajmniej mają silne powiązania z tym krajem i językiem. Przyszłość pokazała, że mieliśmy rację. Wygrana z grupą CoinVault była możliwa dzięki współpracy organów ścigania i firm prywatnych – razem udało nam się zidentyfikować i ująć dwóch podejrzanych – powiedział Jornt van der Wiel, badacz ds. bezpieczeństwa, Kaspersky Lab.
W celu zapobiegania infekcjom szkodliwego oprogramowania szyfrującego eksperci z holenderskiej policji i Kaspersky Lab zalecają użytkownikom, aby dbali o regularne uaktualnianie zainstalowanych aplikacji oraz oprogramowania antywirusowego. Dodatkowo użytkownicy powinni tworzyć kopie zapasowe cennych danych i przechowywać je na zewnętrznych nośnikach, które nie są na stałe podłączone do komputera.
Ofiary szkodliwego oprogramowania szyfrującego nie powinny płacić okupu cyberprzestępcom – motywuje to atakujących do dalszej pracy, a dodatkowo zazwyczaj nie prowadzi do odzyskania zablokowanych danych.