Colaboração entre polícia holandesa e Kaspersky Lab leva à prisão de suspeitos pelo ransomware CoinVault

17 de setembro de 2015

Na segunda-feira (14 de setembro), a polícia holandesa prendeu dois homens (de 18 e 22 anos respectivamente) em Amersfoort, na Holanda, por suspeita de envolvimento nos ataques do ransomware CoinVault. A campanha maliciosa começou em maio de 2014 e segue ativa, com vítimas em mais de 20 países. A Kaspersky Lab contribuiu com pesquisas importantes para o inquérito realizado pela Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) da polícia holandesa para localizar e identificar os responsáveis pelo ataque. A Panda Security também contribuiu para a investigação indicando várias amostras do malware.

Os cibercriminosos do CoinVault tentaram infectar milhares de computadores em todo o mundo, com a maioria das vítimas na Holanda, Alemanha, EUA, França e Reino Unido. Eles conseguiram bloquear, pelo menos, 1.500 máquinas rodando Windows, exigindo bitcoins dos usuários para desfazer a criptografia dos arquivos.

Os responsáveis pela campanha ransomware tentaram modificar suas criações várias vezes com o objetivo de atingir novas vítimas. O primeiro relatório da Kaspersky Lab sobre o CoinVault foi divulgado em novembro de 2014, após a primeira amostra do programa malicioso aparecer nas detecções. A campanha então ficou paralisada até abril de 2015, quando uma nova amostra foi encontrada. No mesmo mês, a Kaspersky Lab e a Unidade Nacional de Crimes de Alta Tecnologia da polícia holandesa lançaram o repositório de chaves de decodificação noransom.kaspersky.com. Além disso, uma ferramenta de decodificação foi disponibilizada, dando às vítimas do CoinVault a chance de recuperar seus dados sem pagar os criminosos.

A Kaspersky Lab foi então contatada pela Panda Security, que encontrou informações sobre amostras adicionais do malware. A investigação dessas amostras pela Kaspersky Lab revelou que elas tinham relação com o CoinVault. Uma análise completa de todas as amostras do malware foi então concluída e entregue à polícia holandesa.

"A polícia holandesa colabora frequentemente com entidades privadas. Nesta investigação, a Kaspersky Lab desempenhou um papel importante que nos ajudou a identificar e localizar os responsáveis pelo ataque Coinvault. Isso mostra que, trabalhando em conjunto podemos pegar mais criminosos", afirma Thomas Aling da polícia holandesa.

"Em abril de 2015, uma nova amostra foi vista em atividade. Curiosamente ela apresentava frases perfeitas em holandeses durante a análise do binário. O holandês é uma língua relativamente difícil de escrever sem erros, então suspeitamos logo no início da nossa pesquisa que os autores deste golpe tinham uma conexão com a Holanda. O que se mostrou verdade. Vencer a batalha contra o CoinVault tem sido um esforço conjunto entre quem aplica a lei e empresas privadas, e conquistamos um grande resultado: a apreensão de dois suspeitos", comemora Jornt van der Wiel, pesquisador de segurança da Kaspersky Lab.

Para evitar que o computador seja infectado com malware, a polícia holandesa e a Kaspersky Lab alertam aos usuários para manter seus softwares e antivírus sempre atualizados. Além disso, os usuários devem fazer regularmente o backup dos arquivos importantes e mantê-los em dispositivos sem conexão com a internet. Por fim, a vítima nunca deve pagar – o pagamento motiva os cibercriminosos a continuar e, nem sempre, isto resulta na liberação dos arquivos.

Para saber mais sobre o ransomware CoinVault, leia o post completo disponível no Securelist.com.