Colaboração entre polícia holandesa e Kaspersky Lab leva à prisão de suspeitos pelo ransomware CoinVault

8888
0
Share:

Na passada segunda-feira (14 de setembro), a polícia holandesa prendeu dois homens (de 18 e 22 anos, respectivamente) em Amersfoort, na Holanda, por suspeita de envolvimento nos ataques do ransomware CoinVault. A campanha maliciosa começou em maio de 2014 e continua activa, com vítimas em mais de 20 países. A Kaspersky Lab contribuiu com uma investigação importante para o inquérito realizado pela Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) da polícia holandesa, para localizar e identificar os responsáveis pelo ataque. A Panda Security também contribuiu para a investigação, indicando várias amostras do malware.

Os cibercriminosos do CoinVault tentaram infectar milhares de computadores em todo o mundo, com a maioria das vítimas na Holanda, Alemanha, EUA, França e Reino Unido, tendo conseguido bloquear, pelo menos, 1500 máquinas com sistema operativo Windows, exigindo bitcoins dos utilizadores para anular a encriptação dos ficheiros.

Os responsáveis pela campanha de ransomware tentaram modificar as suas criações várias vezes com o objetivo de atingir novas vítimas. O primeiro relatório da Kaspersky Lab sobre o CoinVault foi divulgado em Novembro de 2014, após a primeira amostra do programa malicioso aparecer nas detecções. A campanha permaneceu inactiva até Abril de 2015, quando uma nova amostra foi encontrada. No mesmo mês, a Kaspersky Lab e a Unidade Nacional de Crimes de Alta Tecnologia da polícia holandesa lançaram o repositório de chaves de descodificação noransom.kaspersky.com. Além disso, uma ferramenta de descodificação foi disponibilizada, dando às vítimas do CoinVault a possibilidade de recuperarem os seus dados sem pagar aos criminosos.

A Kaspersky Lab foi então contatada pela Panda Security, que encontrou informações sobre amostras adicionais do malware. A investigação dessas amostras pela Kaspersky Lab revelou que tinham relação com o CoinVault. Uma análise completa a todas as amostras do malware foi então concluída e entregue à polícia holandesa.

A polícia holandesa colabora frequentemente com entidades privadas. Nesta investigação, a Kaspersky Lab desempenhou um papel importante que nos ajudou a identificar e localizar os responsáveis pelo ataque Coinvault. Isto mostra que, trabalhando em conjunto, podemos apanhar mais criminosos“, afirma Thomas Aling da polícia holandesa.

Jornt van der Wiel, investigador de segurança da Kaspersky Lab.

Em Abril de 2015, uma nova amostra foi vista em actividade. Curiosamente, esta amostra apresentava frases perfeitas em holandês durante a análise ao binário. O holandês é uma língua relativamente difícil de escrever sem erros, pelo que suspeitámos logo no início da nossa investigação que os autores deste golpe tinham uma ligação com a Holanda, o que acabou por se provar ser verdade. Vencer a batalha contra o CoinVault tem sido um esforço conjunto entre quem aplica a lei e empresas privadas, e atingimos um grande resultado: a detenção de dois suspeitos“,

Para evitar que o computador seja infectado com malware, a polícia holandesa e a Kaspersky Lab aconselham os utilizadores a manter o seu software e programas antivírus sempre atualizados. Além disso, os utilizadores devem fazer regularmente o backup dos ficheiros importantes e mantê-los em dispositivos sem ligação à Internet. Por fim, a vítima nunca deve pagar – o pagamento motiva os cibercriminosos a continuar e nem sempre isso resulta na libertação dos ficheiros.

Para saber mais sobre o ransomware CoinVault, leia o post completo disponível no Securelist.com


Share:
Patricia Fonseca

Deixe o seu comentário