De samenwerking tussen ict-beveiliger Kaspersky Lab en de National High Tech Crime Unit (NHTCU) van de Nederlandse politie heeft geleid tot het oppakken van twee verdachten die betrokken waren bij ransomware-aanvallen, bekent onder de naam Coinvault. Maandag 14 september 2015 heeft de politie twee jongemannen van achttien en tweeëntwintig jaar uit Amersfoort gearresteerd.
Eerder melde Kaspersky Lab samen te werken met de NHTCU bij het opsporen van de makers van Coinvault, malware die bestanden versleuteld, zogenoemde ransomware. De opgepakte mannen zouden verantwoordelijk zijn voor het blokkeren van Windows-gebaseerde computers in meer dan twintig landen. In totaal zijn minstens 1500 computers vergrendeld, waarna bitcoins van gebruikers werden geëist in ruil voor het decoderen van de bestanden. Er zouden ruim zevenhonderd Nederlandse computers geblokkeerd zijn geraakt door de encryptiemalware.
De cybercriminelen hebben hun ransom-creaties diverse malen proberen aan te passen, zodat ze zich konden blijven richten op nieuwe slachtoffers. In november 2014 verscheen het eerste onderzoeksrapport van Kaspersky Lab naar de Coinvault. In april 2015 werd een nieuwe versie ontdekt waarna Kaspersky Lab en de NHTCU de website noranson.kaspersy.com lanceerden. Dit is een gegevensbank met decryptiesleutels, waar Coinvault-slachtoffers de kans krijgen om hun gegevens terug te krijgen zonder de criminelen te betalen. Daarbij werd een decryptieapplicatie online beschikbaar gesteld.
Verbanden
Kaspersky Lab werd vervolgens benaderd door Panda Security, dat informatie had gevonden over gerelateerde malware-versies. Uit Kaspersky Labs onderzoek van deze malware-versies bleken deze inderdaad te zijn gerelateerd aan Coinvault. Vervolgens werd een grondige analyse van alle verwante malware voltooid en doorgegeven aan de Nederlandse politie.
Volgens Thomas Aling, woordvoerder landelijke eenheid van de Nederlandse politie geeft het maar weer aan hoe belangrijk de samenwerking tussen overheid en private partijen is. ‘In dit onderzoek speelde Kaspersky Lab een belangrijke rol, door ons te helpen de Coinvault-aanvallers te identificeren en te lokaliseren.’
Foutloos
Volgens Jornt van der Wiel, security researcher bij Kaspersky Lab, waren de foutloze Nederlandse zinnen die de malware bevatte interessant. ‘Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs. Dit bleek later ook het geval te zijn. De gewonnen strijd tegen Coinvault was een gezamenlijke inspanning tussen wetshandhavers en particuliere bedrijven. We hebben een geweldig resultaat bereikt: de aanhouding van twee verdachten.’
