Na segunda-feira (14/9), a polícia holandesa prendeu dois homens de 18 e 22 anos em Amersfoort, suspeitos de envolvimento nos ataques do ransomware CoinVault. A campanha maliciosa começou em maio de 2014 e segue ativa, com vítimas em mais de 20 países.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
A Kaspersky Lab contribuiu com pesquisas importantes para o inquérito realizado pela Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) no país para localizar e identificar os responsáveis pelo ataque. A Panda Security também contribuiu para a investigação indicando várias amostras do malware.
Os cibercriminosos do CoinVault tentaram infectar milhares de computadores em todo o mundo, com a maioria das vítimas na Holanda, Alemanha, EUA, França e Reino Unido. Eles conseguiram bloquear pelo menos 1,5 mil máquinas rodando Windows, exigindo bitcoins dos usuários para desfazer a criptografia dos arquivos. Os responsáveis pela campanha ransomware tentaram modificar suas criações várias vezes com o objetivo de atingir novas vítimas.
O primeiro relatório da Kaspersky Lab sobre o CoinVault foi divulgado em novembro de 2014, após a primeira amostra do programa malicioso aparecer nas detecções. A campanha então ficou paralisada até abril de 2015, quando uma nova amostra foi encontrada.
No mesmo mês, a empresa de segurança e a NHTCU lançaram o repositório de chaves de decodificação noransom.kaspersky.com. Além disso, uma ferramenta de decodificação foi disponibilizada, dando às vítimas do CoinVault a chance de recuperar seus dados sem ter de pagar aos criminosos.
A Kaspersky Lab foi então contatada pela Panda Security, que encontrou informações sobre amostras adicionais do malware. A investigação dessas amostras pela Kaspersky Lab revelou que elas tinham relação com o CoinVault. Uma análise completa de todas as amostras do malware foi então concluída e entregue à polícia.
PAra Thomas Aling, oficial da polícia holandesa, o fato de trabalharem em conjunto com a empresa de segurança foi fator importante para a identificação dos cibercriminosos, comprovando também que “trabalhando em conjunto podemos pegar mais criminosos”, disse Aling.
Jornt van der Wiel, pesquisador de segurança da Kaspersky Lab, explica que a conexão dos cibercriminosos com a Holanda foi identificada durante uma análise do malware, que continha frases em holandês – uma língua relativamente difícil de escrever sem erros.