Autorzy ransomware CoinVault na ławie oskarżonych

W 2015 roku firma Kaspersky Lab pomogła holenderskiej cyberpolicji w złapaniu autorów pierwszego programu typu ransomware, CoinVault. Następnie utworzono dla niego program deszyfrujący, który został umieszczony w zasobach portalu NoRansom (gdzie można znaleźć wiele innych narzędzi pomocnych w odblokowaniu plików po różnych atakach szyfrujących). Chociaż twórcy zagrożenia CoinVault zostali złapani już jakiś czas temu, pierwsza rozprawa sądowa miała miejsce dopiero niedawno, a uczestniczył w niej nasz ekspert, Jornt van der Wiel.

W 2015 roku firma Kaspersky Lab pomogła holenderskiej cyberpolicji w złapaniu autorów pierwszego programu typu ransomware, CoinVault. Następnie utworzono dla niego program deszyfrujący, który został umieszczony w zasobach portalu NoRansom (gdzie można znaleźć wiele innych narzędzi pomocnych w odblokowaniu plików po różnych atakach szyfrujących). Chociaż twórcy zagrożenia CoinVault zostali złapani już jakiś czas temu, pierwsza rozprawa sądowa miała miejsce dopiero niedawno, a uczestniczył w niej nasz ekspert, Jornt van der Wiel.

CoinVault działał w latach 2014 i 2015 w wielu krajach na całym świecie. Jak szacują nasi eksperci, liczba ofiar przekroczyła 10 tysięcy. Za atakami stało dwóch braci z Holandii, w wieku 21 i 25 lat, którzy przygotowali i rozsyłali wspomnianego trojana. Od każdej ofiary żądali okupu w wysokości 1 bitcoina, który był wtedy warty 200 euro. W efekcie para zarobiła około 20 tys. euro.

CoinVault był wtedy zupełną nowością. Oprócz szyfrowania dysponował funkcjami, które nadal są obecne w trojanach ransomware: na przykład ofiara mogła odszyfrować za darmo jeden plik. Zabieg ten działał na rzecz cyberprzestępców: gdy ofiara przekonała się, że od przywrócenia jej danych dzieli ja tylko jedno kliknięcie, pokusa zapłaty okupu wzrastała. Kolejnym zabiegiem psychologicznym jest wyświetlanie na ekranie zegara, który nieubłaganie odmierza czas dozwolony na dokonanie zapłaty.

Dwóch Holendrów

Wzięliśmy pod lupę trojana CoinVault i szczegółowo opisaliśmy jego strukturę pod koniec 2014 roku. Autorzy wspomnianego szkodliwego programu postarali się, aby ukryć go przed programami zabezpieczającymi i utrudnić jego analizę. Ransomware może na przykład sprawdzać, czy działa w piaskownicy, a jego kod jest mocno zaciemniony.

Niemniej jednak nasi eksperci odkryli jego kod źródłowy i znaleźli wskazówki, które ostatecznie doprowadziły do aresztowania przestępców. Ponieważ znajdowały się w nim komentarze w języku holenderskim, było bardzo prawdopodobne, że oprogramowanie pochodzi z Holandii.

Informacje te przekazaliśmy holenderskiej cyberpolicji, a w ciągu kilku miesięcy przestępcy zostali złapani. Dzięki naszej współpracy z tamtejszą policją uzyskaliśmy klucze z serwera kontroli i mogliśmy przygotować narzędzie do deszyfrowania danych.

Ocena dowodów

Policja zgromadziła ponad 1300 oświadczeń od ofiar tego programu ransomware. Część z tych osób pojawiła się w sądzie osobiście, aby domagać się odszkodowania. Na przykład w wyniku ataku ktoś miał zrujnowane wakacje: ofiary oszacowały straty na 5000 euro, twierdząc, że za tę sumę będą mogli zorganizować sobie inną wycieczkę.

ktoś inny zażądał zwrócenia okupu w tej samej walucie — bitcoinach. Od chwili przeprowadzenia ataku wartość tej kryptowaluty wzrosła niemal 30-krotnie, więc jeśli sąd przychyli się do roszczenia, po raz pierwszy w historii osoby poszkodowane zarobią na ataku ransomware.

Podczas ostatniej rozprawy prokuratorzy żądali ukarania w postaci 3-miesięcznego aresztu, 9-miesięcznego wyroku w zawieszeniu i 240 godzin prac społecznych. Z kolei obrona poprosiła sąd, aby nie umieszczał braci za kratkami, ze względu na to, że pozwani współpracowali podczas dochodzenia, a dodatkowo jeden z nich jest niezastąpiony w obecnej pracy, a drugi jeszcze się uczy. Werdykt zostanie ogłoszony na kolejnej rozprawie, 26 lipca.

Oszuści będą ścigani

Zawsze mówimy, że ulegnięcie cyberprzestępcom zachęca ich do kontynuowania obranej drogi. Proces autorów zagrożenia CoinVault pokazuje, że nawet teoretycznie anonimowi przestępcy nie mogą uciec przed karą. Jednak zamiast czekać aż trzy lata na sprawiedliwość, lepiej jest chronić się zawczasu. Nie zapominaj o naszych standardowych poradach:

Dobry, zły czy (jeszcze) neutralny?

Jeśli tworzysz system do kategoryzowania oprogramowania, tworzysz bezpieczne bramy lub pracujesz nad utworzeniem zespołu ds. reagowania na incydenty, wiesz, że informacje, które można znaleźć w pliku, nie zawsze są wyczerpujące. Czasami dobrze jest wiedzieć, z jakiego publicznego adresu plik został pobrany, z jakim produktem i producentem jest powiązany, pomocne mogą być też dane na temat podpisów cyfrowych i certyfikatów, a także informacje o statystykach.

Porady