CoinVault: pego no flagra

30 jul 2018

Em 2015, a Kaspersky Lab ajudou a polícia de crimes digitais holandesa a capturar os criadores de um dos primeiros ransomware, o CoinVault. O decriptor que desenvolvemos inspirou o portal NoRansom, onde disponibilizamos ferramentas para desbloqueio de arquivos após diversos ataques de encriptação. Embora os criadores do CoinVault tenham sido pegos há algum tempo, a primeira audiência aconteceu recentemente e nosso especialista Jornt van der Wiel esteve presente.
O CoinVault causou confusão em muitos países ao redor do mundo nos anos de 2014 e 2015. Nossos especialistas estimam terem sido feitas mais de 10 mil vítimas. Por trás dos ataques estavam dois irmãos holandeses, de 21 e 25 anos, que desenvolveram e distribuíram o Trojan. Cada vítima recebeu um pedido de resgate de 1 bitcoin, o que na época representava cerca de 200 euros. Com essa estratégia, a dupla faturou algo em torno de 20 mil euros.

O CoinVault estava à frente do seu tempo. Além da encriptação, tinha funcionalidades que vemos até hoje em ransomware Trojans. Por exemplo, a vítima podia decriptar um arquivo gratuitamente. Isso favorece o jogo mental dos cibercriminosos: quando percebem que estão a apenas um clique de recuperar seus dados vitais, a tentação de pagar a quantia exigida fica mais forte. O cronômetro na tela é outra das provocações psicológicas do CoinVault, uma contagem regressiva inexorável até um pedido de resgate mais alto.

Problema em dobro

Estudamos o CoinVault e detalhamos sua estrutura no final de 2014. Os autores do malware fizeram um grande esforço para se esconder das soluções de segurança e dificultar suas análises. O ransomware pode determinar, por exemplo, se está sendo executado em uma sandbox e seu código é fortemente ofuscado.

Mesmo assim, nossa equipe foi capaz de obter o código-fonte e encontrar uma pista que, no final das contas, levou à prisão dos criminosos: continha alguns comentários em holandês, aumentando sua probabilidade de origem ter relação com a Holanda.

Repassamos a informação para a polícia holandesa especializada em crimes de tecnologia e, dentro de alguns meses, foi reportada a prisão bem-sucedida dos mentores dos ataques. Graças à nossa cooperação com o órgão holandês, conseguimos obter as chaves do servidor C&C e desenvolver uma ferramenta de decriptação de dados.

Evidências na balança da justiça

A polícia coletou quase 1,3 mil depoimentos de vítimas do ransomware. Algumas delas apresentaram-se pessoalmente em tribunal para exigir compensações. Uma delas, por exemplo, teve suas férias arruinadas pelo vírus. O dano estimado foi de 5 mil euros – montante que possibilitaria o pagamento de uma nova viagem.

Já outra vítima solicitou que o resgate fosse devolvido na mesma moeda – bitcoin. Desde o ataque, a taxa de câmbio da criptomoeda aumentou quase 30 vezes, de forma que, se o tribunal atender à reivindicação, será a primeira vez que uma parte lesada terá ganho dinheiro com um ataque de ransomware.

Na recente audiência, os promotores exigiram uma pena de três meses de prisão, seguidos por nove meses de sentença condicional e 240 horas de serviços comunitários. A defesa pediu ao tribunal que os irmãos não fossem colocados atrás das grades, sob a alegação de que os réus cooperaram com a investigação, e de que um deles é insubstituível em seu emprego atual, enquanto o outro está na faculdade. O veredito será determinado na próxima audiência, no dia 26 de julho.

Transgressores serão processados

Sempre falamos que ceder aos criminosos apenas os encoraja. O julgamento dos criadores do CoinVault mostra que até mesmo cibercriminosos aparentemente anônimos não escapam da punição. Mas ao invés de esperar três anos por justiça, é melhor prevenir e se proteger. Lembre-se das nossas dicas: