Zusammenarbeit zwischen niederländischer Polizei und Kaspersky Lab führt zu Festnahme von Verdächtigen hinter den CoinVault-Ransomware-Attacken

Am Montag, den 14. September, verhaftete die niederländische Polizei zwei Männer (18 und 22 Jahre alt) aus Amersfoort, Niederlande, wegen des Verdachts der Beteiligung an den CoinVault-Ransomware-Attacken. Die im Mai 2014 begonnene Malware-Kampagne setzte sich in diesem Jahr fort und zielte auf Nutzer in mehr als 20 Ländern ab. Kaspersky Lab steuerte bei den Ermittlungen wichtige Untersuchungsarbeit bei, welche die National High Tech Crime Unit (NHTCU) der niederländischen Polizei bei der Identifizierung der mutmaßlichen Täter unterstützte. Die Experten von Panda Security wirkten ebenfalls bei den Ermittlungen mit, in dem sie auf mehrere Malware-Samples aufmerksam machten.

Die Cyberkriminellen hinter CoinVault versuchten weltweit zehntausende von Computern zu infizieren. Der Großteil der Opfer befand sich in den Niederlanden, Deutschland, den USA, Frankreich und dem Vereinigten Königreich. Den Cyberkriminellen gelang es, mindestens 1.500 Windows-basierte Rechner zu sperren, wobei sie Bitcoins von den Nutzern verlangten, um die Dateien zu entschlüsseln.

Die für die Ransomware-Kampagne verantwortlichen Cyberkriminellen versuchten mehrmals den verwendeten Trojaner zu verändern, um immer neue Opfer anzuvisieren. Der ursprüngliche Bericht von Kaspersky Lab wurde im November 2014 veröffentlicht, nachdem man auf das erste Malware-Sample aufmerksam wurde. Die Kampagne pausierte bis April 2015, als ein neues Sample entdeckt wurde. Im selben Monat starteten Kaspersky Lab und die National High Tech Crime Unit (NHTCU) der niederländischen Polizei die Webseite noransom.kaspersky.com, die neben einem Schritt-für-Schritt-Leitfaden auch eine Sammlung von entsprechenden Entschlüsselungscodes zur Verfügung stellte. Dies gab den Opfern von CoinVault die Gelegenheit, ihre Daten zurück zu gewinnen, ohne den Kriminellen etwas zu zahlen.

Anschließend wurde Kaspersky Lab von Panda Security kontaktiert, die Informationen über weitere Malware-Samples gefunden hatten. Die Untersuchung dieser Samples durch Kaspersky Lab ergab einen Bezug zu CoinVault. In der Folge wurde eine vollständige Analyse aller mit CoinVault assoziierten Malware-Samples durchgeführt und der niederländischen Polizei übergeben.

„Die niederländische Polizei arbeitet regelmäßig mit der Industrie zusammen. In dieser Ermittlung spielte Kaspersky Lab eine wesentliche Rolle bei der Identifizierung und Ortung der mutmaßlichen Coinvault-Angreifer. Es zeigt sich, dass man mehr Kriminelle erwischen kann, wenn man zusammenarbeitet.“, sagt Thomas Aling von der niederländischen Polizei.

„Im April 2015 wurde ein neues Sample in freier Wildbahn entdeckt. Interessanterweise weist das Sample einwandfreie niederländische Sätze über die gesamte Programmdatei hinweg auf. Es ist sehr schwierig, auf Niederländisch zu schreiben, ohne einen Fehler zu machen. Wir vermuteten bei unseren Untersuchungen von Anfang an, dass eine niederländische Verbindung unter den angeblichen Malware-Autoren vorlag. Diese Vermutung stellte sich später als richtig heraus. Die erfolgreiche Bekämpfung von CoinVault war eine gemeinsame Anstrengung zwischen Strafverfolgungsbehörden und Privatunternehmen, die zu einem tollen Ergebnis führten: Der Festnahme von zwei Verdächtigen“, sagt Jornt van der Wiel, Sicherheitsexperte bei Kaspersky Lab.

Um einen Rechner vor der Infizierung mit Malware zu schützen, empfehlen die niederländische Polizei und Kaspersky Lab den Nutzern, ihre Software sowie ihr Antivirus-Programm immer auf dem neuesten Stand zu halten. Darüber hinaus sollten Nutzer regelmäßig Sicherungen von wertvollen und/oder wichtigen Dateien auf externen, nicht permanent angeschlossenen, Datenträgern durchführen und die Sicherung auf einem Gerät ohne Internetverbindung speichern. Zu guter Letzt sollten Nutzer in solchen Fällen nie zahlen. Zahlungen motivieren Cyberkriminelle weiter zu machen und dies führt überdies nicht immer zur tatsächlichen Freigabe von Dateien.

Mehr Informationen über die CoinVault-Ransomware sind auf dem Blog-Eintrag auf https://securelist.com/blog/research/72187/coinvault-are-we-reaching-the-end-of-the-nightmare/ erhältlich.

Kaspersky Lab ist weltweit eines der am schnellsten wachsenden sowie das größte privat geführte Unternehmen für Cybersicherheit. Das Unternehmen zählt zu den vier erfolgreichsten Anbietern von IT-Sicherheitslösungen für Endpoint-Anwender (IDC, 2014). Seit 1997 hat Kaspersky Lab zahlreiche Innovationen im Bereich Cybersicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen und Threat Intelligence für Großunternehmen, KMU und Heimanwender. Kaspersky Lab ist ein internationales Unternehmen, das derzeit in rund 200 Ländern auf der ganzen Welt vertreten ist und über 400 Millionen Nutzer weltweit schützt.

Firmenkontakt
Kaspersky Lab
Stefan Rojacher
Despag-Straße 3
85055 Ingolstadt
08974726243
[email protected]
http://www.kaspersky.com/de/

Pressekontakt
essential media
Florian Schafroth
Landwehrstraße 61
80336 München
08974726243
[email protected]
http://essentialmedia.de