Twee Nederlanders aangehouden voor betrokkenheid bij CoinVault ransomware

handboeien-klein

Twee mannen van 18 en 22 jaar uit Amersfoort zijn gearresteerd op verdenking van betrokkenheid bij CoinVault ransomware-aanvallen. De malware-activiteiten van de cybercriminelen waren vanaf mei vorig jaar aan de gang en waren gericht tegen gebruikers in meer dan 20 landen.

Dit maakt de Nederlandse politie bekend. De National High Tech Crime Unit (NHTCU) van de Nederlandse politie heeft in het onderzoek samengewerkt met Kaspersky Lab en Panda Security. Kaspersky voerde onderzoek uit dat de politie hielp bij het opsporen en identificeren van de verdachten, terwijl Panda Security wees op gerelateerde malware-versies. CoinVault's cybercriminelen probeerden wereldwijd tienduizenden computers te infecteren. De meeste slachtoffers waren afkomstig uit Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk. De aanvallers slaagden erin ten minste 1500 Windows-gebaseerde machines te vergrendelen, waarna bitcoins, de digitale munteenheid, van gebruikers werden geëist in ruil voor het decoderen van de bestanden.

Verschillende malware-versies

De CoinVault ransomware is meerdere keren aangepast om anti-virussoftware om de tuin te leiden en nieuwe slachtoffers te kunnen maken. Kaspersky Labs eerste onderzoeksrapport over CoinVault verscheen in november 2014, nadat de eerste voorvallen van het schadelijke programma werden ontdekt. De campagne stopte vervolgens tot april 2015, toen een nieuwe gerelateerde malware-versie werd ontdekt. In dezelfde maand lanceerden Kaspersky Lab en de National High Tech Crime Unit (NHTCU) van de Nederlandse politie de website noransom.kaspersky.com, een gegevensbank waarin decryptiesleutels worden aangeboden. Ook konden slachtoffers hier een applicatie downloaden waarmee zij versleutelde bestanden met behulp van de decryptiesleutels konden ontsleutelen. Dit gaf CoinVault-slachtoffers de kans om hun gegevens weer terug te krijgen zonder de criminelen te hoeven betalen.

Kaspersky Lab werd vervolgens benaderd door Panda Security, dat informatie had gevonden over gerelateerde malware-versies. Uit Kaspersky Labs onderzoek van deze malware-versies bleken deze inderdaad te zijn gerelateerd aan CoinVault. Vervolgens werd een grondige analyse van alle verwante malware voltooid en doorgegeven aan de Nederlandse politie.

Samenwerking tussen overheid en het bedrijfsleven

Thomas Aling, woordvoerder Landelijke Eenheid van de Nederlandse politie, benadrukt de waarde van de samenwerking tussen overheid en private partijen. Ook Jornt van der Wiel, Security Researcher bij Kaspersky Lab, onderschrijft dit: "In april 2015 werd een nieuwe versie van CoinVault waargenomen. Interessant daaraan was dat de malware foutloze Nederlandse zinnen bevatte. Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs. Dit bleek later ook het geval te zijn. De gewonnen strijd tegen CoinVault was een gezamenlijke inspanning tussen wetshandhavers en particuliere bedrijven. We hebben een geweldig resultaat bereikt: de aanhouding van twee verdachten.”

Lees ook
WatchGuard: malware gericht op endpoints stijgt explosief

WatchGuard: malware gericht op endpoints stijgt explosief

Ondanks dat het totale aantal netwerkdetecties van malware in het afgelopen kwartaal bijna gehalveerd is ten opzichte van het vorige kwartaal, is het aantal detecties van malware gericht op endpoints met 82% gestegen.

Miljoenen berichten verspreiden LockBit 3.0

Miljoenen berichten verspreiden LockBit 3.0

Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.