{"id":10556,"date":"2018-07-30T18:40:29","date_gmt":"2018-07-30T21:40:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10556"},"modified":"2019-11-22T07:18:02","modified_gmt":"2019-11-22T10:18:02","slug":"coinvault-in-court","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/coinvault-in-court\/10556\/","title":{"rendered":"CoinVault: pego no flagra"},"content":{"rendered":"

Em 2015, a Kaspersky Lab ajudou a pol\u00edcia de crimes digitais holandesa<\/a> a capturar os criadores de um dos primeiros ransomware, o CoinVault<\/a>. O decriptor que desenvolvemos inspirou o portal NoRansom<\/a>, onde disponibilizamos ferramentas para desbloqueio de arquivos ap\u00f3s diversos ataques de encripta\u00e7\u00e3o. Embora os criadores do CoinVault tenham sido pegos h\u00e1 algum tempo, a primeira audi\u00eancia aconteceu recentemente e nosso especialista Jornt van der Wiel esteve presente<\/a>.
\nO CoinVault causou confus\u00e3o em muitos pa\u00edses ao redor do mundo nos anos de 2014 e 2015. Nossos especialistas estimam terem sido feitas mais de 10 mil v\u00edtimas. Por tr\u00e1s dos ataques estavam dois irm\u00e3os holandeses, de 21 e 25 anos, que desenvolveram e distribu\u00edram o Trojan. Cada v\u00edtima recebeu um pedido de resgate de 1 bitcoin, o que na \u00e9poca representava cerca de 200 euros. Com essa estrat\u00e9gia, a dupla faturou algo em torno de 20 mil euros.<\/p>\n

O CoinVault estava \u00e0 frente do seu tempo. Al\u00e9m da encripta\u00e7\u00e3o, tinha funcionalidades que vemos at\u00e9 hoje em ransomware Trojans. Por exemplo, a v\u00edtima podia decriptar um arquivo gratuitamente. Isso favorece o jogo mental dos cibercriminosos: quando percebem que est\u00e3o a apenas um clique de recuperar seus dados vitais, a tenta\u00e7\u00e3o de pagar a quantia exigida fica mais forte. O cron\u00f4metro na tela \u00e9 outra das provoca\u00e7\u00f5es psicol\u00f3gicas do CoinVault, uma contagem regressiva inexor\u00e1vel at\u00e9 um pedido de resgate mais alto.<\/p>\n

Problema em dobro<\/strong><\/h3>\n

Estudamos o CoinVault e detalhamos<\/a> sua estrutura no final de 2014. Os autores do malware fizeram um grande esfor\u00e7o para se esconder das solu\u00e7\u00f5es de seguran\u00e7a e dificultar suas an\u00e1lises. O ransomware pode determinar, por exemplo, se est\u00e1 sendo executado em uma sandbox<\/a> e seu c\u00f3digo \u00e9 fortemente ofuscad<\/a>o.<\/p>\n

Mesmo assim, nossa equipe foi capaz de obter o c\u00f3digo-fonte e encontrar uma pista que, no final das contas, levou \u00e0 pris\u00e3o dos criminosos: continha alguns coment\u00e1rios em holand\u00eas, aumentando sua probabilidade de origem ter rela\u00e7\u00e3o com a Holanda.<\/p>\n

Repassamos a informa\u00e7\u00e3o para a pol\u00edcia holandesa especializada em crimes de tecnologia e, dentro de alguns meses, foi reportada a pris\u00e3o bem-sucedida<\/a> dos mentores dos ataques. Gra\u00e7as \u00e0 nossa coopera\u00e7\u00e3o com o \u00f3rg\u00e3o holand\u00eas, conseguimos obter as chaves do servidor C&C e desenvolver uma ferramenta de decripta\u00e7\u00e3o de dados<\/a>.<\/p>\n

Evid\u00eancias na balan\u00e7a da justi\u00e7a<\/strong><\/h3>\n

A pol\u00edcia coletou quase 1,3 mil depoimentos de v\u00edtimas do ransomware. Algumas delas apresentaram-se pessoalmente em tribunal para exigir compensa\u00e7\u00f5es. Uma delas, por exemplo, teve suas f\u00e9rias arruinadas pelo v\u00edrus. O dano estimado foi de 5 mil euros \u2013 montante que possibilitaria o pagamento de uma nova viagem.<\/p>\n

J\u00e1 outra v\u00edtima solicitou que o resgate fosse devolvido na mesma moeda \u2013 bitcoin. Desde o ataque, a taxa de c\u00e2mbio da criptomoeda<\/a> aumentou quase 30 vezes, de forma que, se o tribunal atender \u00e0 reivindica\u00e7\u00e3o, ser\u00e1 a primeira vez que uma parte lesada ter\u00e1 ganho dinheiro com um ataque de ransomware.<\/p>\n

Na recente audi\u00eancia, os promotores exigiram uma pena de tr\u00eas meses de pris\u00e3o, seguidos por nove meses de senten\u00e7a condicional e 240 horas de servi\u00e7os comunit\u00e1rios. A defesa pediu ao tribunal que os irm\u00e3os n\u00e3o fossem colocados atr\u00e1s das grades, sob a alega\u00e7\u00e3o de que os r\u00e9us cooperaram com a investiga\u00e7\u00e3o, e de que um deles \u00e9 insubstitu\u00edvel em seu emprego atual, enquanto o outro est\u00e1 na faculdade. O veredito ser\u00e1 determinado na pr\u00f3xima audi\u00eancia, no dia 26 de julho.<\/p>\n\n

Transgressores ser\u00e3o processados<\/strong><\/h3>\n

Sempre falamos que ceder aos criminosos apenas os encoraja. O julgamento dos criadores do CoinVault mostra que at\u00e9 mesmo cibercriminosos aparentemente an\u00f4nimos n\u00e3o escapam da puni\u00e7\u00e3o. Mas ao inv\u00e9s de esperar tr\u00eas anos por justi\u00e7a, \u00e9 melhor prevenir e se proteger. Lembre-se das nossas dicas:<\/p>\n