Συνελήφθησαν ύποπτοι για τις επιθέσεις του ransomware προγράμματος CoinVault

busted_en

Στις 14 Σεπτεμβρίου 2015, η Ολλανδική Αστυνομία συνέλαβε δύο άνδρες (18 και 22 ετών) από την περιοχή Amersfoort της Ολλανδίας, ως ύποπτους για συμμετοχή σε επιθέσεις του ransomware προγράμματος CoinVault. Η εκστρατεία του κακόβουλου λογισμικού ξεκίνησε το Μάιο του 2014 και συνεχίστηκε και φέτος, βάζοντας στο στόχαστρο χρήστες σε πάνω από 20 χώρες. Η Kaspersky Lab συνέβαλε στην έρευνα, βοηθώντας το Σώμα Δίωξης Τεχνολογικού Εγκλήματος της Ολλανδικής Αστυνομίας (NHTCU) στον εντοπισμό και την αναγνώριση των φερόμενων ως επιτιθέμενων. Η Panda Security συνέβαλε επίσης στην έρευνα υποδεικνύοντας διάφορα δείγματα του κακόβουλου λογισμικού.

Οι ψηφιακοί εγκληματίες πίσω από το CoinVault προσπάθησαν να «μολύνουν» δεκάδες χιλιάδες υπολογιστές παγκοσμίως, με την πλειοψηφία των θυμάτων να βρίσκονται στην Ολλανδία, τη Γερμανία, τις ΗΠΑ, τη Γαλλία και το Ηνωμένο Βασίλειο. Κατάφεραν να «κλειδώσουν» τουλάχιστον 1.500 υπολογιστές με λειτουργικό Windows, απαιτώντας bitcoins ως λύτρα, για να αποκρυπτογραφήσουν τα αρχεία.

Οι ψηφιακοί εγκληματίες πίσω από αυτή την εκστρατεία έχουν προσπαθήσει αρκετές φορές να τροποποιήσουν τα δημιουργήματά τους, ώστε να συνεχίσουν να στρέφονται εναντίον νέων θυμάτων. Η αρχική έκθεση της Kaspersky Lab σχετικά με το CoinVault εκδόθηκε τον Νοέμβριο του 2014, αφού εντοπίστηκε το πρώτο δείγμα του κακόβουλου προγράμματος. Η εκστρατεία στη συνέχεια σταμάτησε μέχρι τον Απρίλιο του 2015, όταν εντοπίστηκε ένα νέο δείγμα. Τον ίδιο μήνα, η Kaspersky Lab και το Σώμα Δίωξης Τεχνολογικού Εγκλήματος της Ολλανδικής Αστυνομίας παρουσίασαν τον ιστότοπο noransom.kaspersky.com, ο οποίος αποτελεί μια «αποθήκη» κλειδιών αποκρυπτογράφησης. Επιπλέον, διατέθηκε μια εφαρμογή αποκρυπτογράφησης μέσω Διαδικτύου. Με αυτά τα εργαλεία, τα θύματα του CoinVault είχαν την ευκαιρία να ανακτούν τα δεδομένα τους, δίχως να πληρώσουν τους εγκληματίες.

Η εταιρεία Panda Security επικοινώνησε τότε με την Kaspersky Lab, καθώς είχε βρει πληροφορίες σχετικά με επιπλέον δείγματα κακόβουλου λογισμικού. Η διερεύνηση των δειγμάτων αυτών από την Kaspersky Lab αποκάλυψε τη σχέση τους με το CoinVault. Μια προσεκτική ανάλυση όλων των σχετικών δειγμάτων κακόβουλου λογισμικού ολοκληρώθηκε και έπειτα παραδόθηκε στην Ολλανδική Αστυνομία.

Όπως δήλωσε ο Thomas Aling, εκ μέρους της Ολλανδικής Αστυνομίας.

“Η Ολλανδική Αστυνομία συνεργάζεται συχνά με ιδιώτες. Σε αυτήν την έρευνα, η Kaspersky Lab έπαιξε σημαντικό ρόλο, αφού μας βοήθησε να αναγνωρίσουμε και να εντοπίσουμε την ομάδα επιτιθέμενων πίσω από το CoinVault. Αυτό καταδεικνύει ότι δουλεύοντας μαζί, μπορούμε να συλλάβουμε περισσότερους εγκληματίες”

Ο Jornt van der Wiel, Ερευνητής Ασφάλειας της Kaspersky Lab, συμπλήρωσε

“Τον Απρίλιο του 2015 εντοπίστηκε ένα νέο δείγμα στο Διαδίκτυο. Είναι ενδιαφέρον ότι το δείγμα αυτό περιείχε φράσεις σε άψογα Ολλανδικά σε όλο το δυαδικό σύστημα. Τα Ολλανδικά είναι μια σχετικά δύσκολη γλώσσα για να γραφτεί χωρίς λάθη. Έτσι, από την αρχή της έρευνας, δημιουργήθηκαν υποψίες ότι οι φερόμενοι ως δημιουργοί του κακόβουλου λογισμικού είχαν κάποια σχέση με την Ολλανδία. Αργότερα, αυτό επιβεβαιώθηκε. Η νίκη στη μάχη ενάντια στο CoinVault υπήρξε μια κοινή προσπάθεια διωκτικών αρχών και ιδιωτικών εταιρειών και είναι αλήθεια ότι έχουμε πετύχει ένα πολύ καλό αποτέλεσμα: τη σύλληψη δύο υπόπτων”

Προκειμένου να αποτραπεί η «μόλυνση» ενός υπολογιστή από κακόβουλο λογισμικό, η Ολλανδική Αστυνομία και η Kaspersky Lab συνιστούν στους χρήστες να επιβεβαιώνουν ότι το λογισμικό και τα antivirus προγράμματά τους είναι πάντα ενημερωμένα. Επιπλέον, καλό είναι οι χρήστες να δημιουργούν αντίγραφα ασφαλείας για τα σημαντικά τους αρχεία τακτικά και να τα αποθηκεύουν σε μια συσκευή που δε συνδέεται στο Διαδίκτυο.

Τέλος, οι χρήστες δεν πρέπει ποτέ να προχωρούν σε πληρωμή λύτρων, καθώς αυτό δίνει κίνητρο στους ψηφιακούς εγκληματίες να συνεχίσουν τη δράση τους, ενώ δεν οδηγεί πάντα στην πραγματική «απελευθέρωση» των αρχείων τους.

 

This entry was posted in Internet, Misc and tagged , . Bookmark the permalink.