Twee Nederlanders aangehouden voor betrokkenheid bij CoinVault ransomware

handboeien-klein

Twee mannen van 18 en 22 jaar uit Amersfoort zijn gearresteerd op verdenking van betrokkenheid bij CoinVault ransomware-aanvallen. De malware-activiteiten van de cybercriminelen waren vanaf mei vorig jaar aan de gang en waren gericht tegen gebruikers in meer dan 20 landen.

Dit maakt de Nederlandse politie bekend. De National High Tech Crime Unit (NHTCU) van de Nederlandse politie heeft in het onderzoek samengewerkt met Kaspersky Lab en Panda Security. Kaspersky voerde onderzoek uit dat de politie hielp bij het opsporen en identificeren van de verdachten, terwijl Panda Security wees op gerelateerde malware-versies. CoinVault's cybercriminelen probeerden wereldwijd tienduizenden computers te infecteren. De meeste slachtoffers waren afkomstig uit Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk. De aanvallers slaagden erin ten minste 1500 Windows-gebaseerde machines te vergrendelen, waarna bitcoins, de digitale munteenheid, van gebruikers werden geëist in ruil voor het decoderen van de bestanden.

Verschillende malware-versies

De CoinVault ransomware is meerdere keren aangepast om anti-virussoftware om de tuin te leiden en nieuwe slachtoffers te kunnen maken. Kaspersky Labs eerste onderzoeksrapport over CoinVault verscheen in november 2014, nadat de eerste voorvallen van het schadelijke programma werden ontdekt. De campagne stopte vervolgens tot april 2015, toen een nieuwe gerelateerde malware-versie werd ontdekt. In dezelfde maand lanceerden Kaspersky Lab en de National High Tech Crime Unit (NHTCU) van de Nederlandse politie de website noransom.kaspersky.com, een gegevensbank waarin decryptiesleutels worden aangeboden. Ook konden slachtoffers hier een applicatie downloaden waarmee zij versleutelde bestanden met behulp van de decryptiesleutels konden ontsleutelen. Dit gaf CoinVault-slachtoffers de kans om hun gegevens weer terug te krijgen zonder de criminelen te hoeven betalen.

Kaspersky Lab werd vervolgens benaderd door Panda Security, dat informatie had gevonden over gerelateerde malware-versies. Uit Kaspersky Labs onderzoek van deze malware-versies bleken deze inderdaad te zijn gerelateerd aan CoinVault. Vervolgens werd een grondige analyse van alle verwante malware voltooid en doorgegeven aan de Nederlandse politie.

Samenwerking tussen overheid en het bedrijfsleven

Thomas Aling, woordvoerder Landelijke Eenheid van de Nederlandse politie, benadrukt de waarde van de samenwerking tussen overheid en private partijen. Ook Jornt van der Wiel, Security Researcher bij Kaspersky Lab, onderschrijft dit: "In april 2015 werd een nieuwe versie van CoinVault waargenomen. Interessant daaraan was dat de malware foutloze Nederlandse zinnen bevatte. Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs. Dit bleek later ook het geval te zijn. De gewonnen strijd tegen CoinVault was een gezamenlijke inspanning tussen wetshandhavers en particuliere bedrijven. We hebben een geweldig resultaat bereikt: de aanhouding van twee verdachten.”

Lees ook
Bijna 9 op de 10 Benelux-bedrijven is in 2022 getroffen door ransomware; ruim de helft (55%) zelfs meer dan eens

Bijna 9 op de 10 Benelux-bedrijven is in 2022 getroffen door ransomware; ruim de helft (55%) zelfs meer dan eens

Barracuda Networks heeft zijn 2023 Ransomware Insights rapport gepubliceerd. Daaruit blijkt dat maar liefst bijna 9 op de 10 (87%) onderzochte organisaties in de Benelux in 2022 minstens één ransomware-aanval te verduren heeft gehad. Ruim de helft (55%) is zelfs twee keer of vaker getroffen. Deze percentages liggen hoger dan het wereldwijde gemiddelde...

Grijp die ransomware-crimineel

Grijp die ransomware-crimineel

Hoe spot je de ransomware-crimineel die op kousenvoeten in je IT-omgeving aan het rondneuzen is? Het antwoord op de million dollar question is: spooksystemen neerzetten.

Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency

Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency

TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het Noord-Koreaanse regime. Deze aanvallen overlappen met APT38, Bluenoroff, BlackAlicanto, Stardust Chollima en COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere delen...