Aresztowania podejrzanych o ataki z użyciem ransomware CoinVault

17 września, 2015

W ubiegły poniedziałek, 14 września 2015 r., holenderska policja aresztowała dwóch mężczyzn (w wieku 18 i 22 lata) z holenderskiej miejscowości Amersfoort pod zarzutem zaangażowania w ataki z wykorzystaniem szkodliwego oprogramowania szyfrującego CoinVault. Ta operacja cyberprzestępcza rozpoczęła się w maju 2014 r., a atakujący wzięli na celownik użytkowników z ponad 20 krajów. Kaspersky Lab miał istotny wkład w badania wykorzystane w pracach dochodzeniowych jednostki National High Tech Crime Unit (NHTCU) holenderskiej policji, w wyniku których zlokalizowano i zidentyfikowano osoby podejrzane o cyberataki. W badanie była także zaangażowana firma Panda Security, która dostarczyła kilka próbek szkodliwego kodu.

Cyberprzestępcy stojący za operacją CoinVault próbowali infekować dziesiątki tysięcy komputerów na całym świecie. Większość ofiar zlokalizowano w Holandii, Niemczech, Stanach Zjednoczonych oraz Wielkiej Brytanii. Atakujący zablokowali ponad 1 500 komputerów z systemami Windows, żądając zapłacenia okupu w walucie Bitcoin za przywrócenie dostępu do danych.

Grupa CoinVault kilkukrotnie modyfikowała swoje szkodliwe programy, by zwiększyć zasięg oraz liczbę ofiar. Wstępny raport Kaspersky Lab dotyczący tego zagrożenia został opublikowany w listopadzie 2014 r., po wykryciu pierwszej próbki szkodliwego kodu. Działania osób stojących za operacją CoinVault zostały wówczas wstrzymane aż do kwietnia 2015 r., gdy wykryto nową próbkę szkodnika. Tego samego miesiąca Kaspersky Lab wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji uruchomił stronę noransom.kaspersky.com zawierającą bazę kluczy deszyfrujących oraz aplikację pozwalającą ofiarom szkodnika odzyskać zablokowane dane bez płacenia okupu cyberprzestępcom.

Niedługo po tym z Kaspersky Lab skontaktowali się specjaliści z firmy Panda Security, którzy zidentyfikowali dodatkowe próbki szkodliwego kodu. Badanie przeprowadzone przez Kaspersky Lab wykazało, że próbki te są powiązane z operacją CoinVault. Następnie eksperci z Kaspersky Lab przeprowadzili dalszą analizę wszystkich zgromadzonych szkodliwych programów i przekazali wyniki holenderskiej policji.

„Holenderska policja regularnie współpracuje z firmami prywatnymi. W tym przypadku ważną rolę odegrali specjaliści z Kaspersky Lab, którzy pomogli nam w zidentyfikowaniu i zlokalizowaniu osób stojących za atakami CoinVault. Jest to kolejny dowód na to, że działając razem, możemy jeszcze skuteczniej łapać cyberprzestępców” – powiedział Thomas Aling z holenderskiej policji.

„W kwietniu 2015 r. wykryliśmy nową próbkę CoinVaulta. Co ciekawe, kod zawierał frazy napisane bezbłędnym holenderskim. Jest to dość trudny język, zatem od początku podejrzewaliśmy, że osoby stojące za tymi atakami są Holendrami lub przynajmniej mają silne powiązania z tym krajem i językiem. Przyszłość pokazała, że mieliśmy rację. Wygrana z grupą CoinVault była możliwa dzięki współpracy organów ścigania i firm prywatnych – razem udało nam się zidentyfikować i ująć dwóch podejrzanych” – powiedział Jornt van der Wiel, badacz ds. bezpieczeństwa, Kaspersky Lab.

W celu zapobiegania infekcjom szkodliwego oprogramowania szyfrującego eksperci z holenderskiej policji i Kaspersky Lab zalecają użytkownikom, aby dbali o regularne uaktualnianie zainstalowanych aplikacji oraz oprogramowania antywirusowego. Dodatkowo użytkownicy powinni tworzyć kopie zapasowe cennych danych i przechowywać je na zewnętrznych nośnikach, które nie są na stałe podłączone do komputera.

Ofiary szkodliwego oprogramowania szyfrującego nie powinny płacić okupu cyberprzestępcom – motywuje to atakujących do dalszej pracy, a dodatkowo zazwyczaj nie prowadzi do odzyskania zablokowanych danych.  

Szczegóły techniczne dotyczące szkodliwego programu CoinVault są dostępne w serwisie SecureList.com prowadzonym przez Kaspersky Lab: http://r.kaspersky.pl/convault_raport.

źródło: Kaspersky Lab

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]