2015-9-19
A polícia holandesa prendeu dois homens em Amersfoort, na Holanda, por suspeita de envolvimento nos ataques do ransomware CoinVault. A campanha maliciosa começou em maio de 2014 e continua activa, com vítimas em mais de 20 países.
A Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) da polícia holandesa prendeu na passada segunda feira ( 14/9) dos suspeitos com idades de 18 e 22 anos depois de uma investigação realizada com a colaboração da Kaspersky que contribuiu para localizar e identificar os responsáveis pelo ataque, de acordo com o fabricante. A Panda Security também contribuiu para a investigação, indicando várias amostras do malware.
Os cibercriminosos do CoinVault tentaram infetar milhares de computadores em todo o mundo, com a maioria das vítimas na Holanda, Alemanha, EUA, França e Reino Unido, tendo conseguido bloquear, pelo menos, 1500 máquinas com sistema operativo Windows, exigindo bitcoins dos utilizadores para anular a encriptação dos ficheiros.
Os responsáveis pela campanha de ransomware tentaram modificar as suas criações várias vezes com o objetivo de atingir novas vítimas. O primeiro relatório da Kaspersky Lab sobre o CoinVault foi divulgado em Novembro de 2014, após a primeira amostra do programa malicioso aparecer nas detecções. A campanha permaneceu inativa até Abril de 2015, quando uma nova amostra foi encontrada. No mesmo mês, a Kaspersky Lab e a Unidade Nacional de Crimes de Alta Tecnologia da polícia holandesa lançaram o repositório de chaves de descodificação noransom.kaspersky.com.
Além disso, uma ferramenta de descodificação foi disponibilizada, dando às vítimas do CoinVault a possibilidade de recuperarem os seus dados sem pagar aos criminosos.
A Kaspersky Lab foi então contactada pela Panda Security, que encontrou informações sobre amostras adicionais do malware. A investigação dessas amostras pela Kaspersky Lab revelou que tinham relação com o CoinVault. Uma análise completa a todas as amostras do malware foi então concluída e entregue à polícia holandesa.
"A polícia holandesa colabora frequentemente com entidades privadas. Nesta investigação, a Kaspersky Lab desempenhou um papel importante que nos ajudou a identificar e localizar os responsáveis pelo ataque Coinvault. Isto mostra que, trabalhando em conjunto, podemos apanhar mais criminosos", afirma Thomas Aling da polícia holandesa.
Para Jornt van der Wiel, investigador de segurança da Kaspersky Lab.
"Em Abril de 2015, uma nova amostra foi vista em atividade. Curiosamente, esta amostra apresentava frases perfeitas em holandês durante a análise ao binário. O holandês é uma língua relativamente difícil de escrever sem erros, pelo que suspeitámos logo no início da nossa investigação que os autores deste golpe tinham uma ligação com a Holanda, o que acabou por se provar ser verdade. Vencer a batalha contra o CoinVault tem sido um esforço conjunto entre quem aplica a lei e empresas privadas, e atingimos um grande resultado: a detenção de dois suspeitos".
Para evitar que o computador seja infetado com malware, a polícia holandesa e a Kaspersky Lab aconselham os utilizadores a manter o seu software e programas antivírus sempre atualizados. Além disso, os utilizadores devem fazer regularmente o backup dos ficheiros importantes e mantê-los em dispositivos sem ligação à Internet. Por fim, a vítima nunca deve pagar – o pagamento motiva os cibercriminosos a continuar e nem sempre isso resulta na libertação dos ficheiros.