7 октября 2015

Конец CoinVault: возможные авторы арестованы в Нидерландах

Бизнес

Два молодых человека были арестованы полицией Нидерландов по подозрению в причастности к атакам шифровальщика-вымогателя CoinVault. Печально известная кампания стартовала в мае 2014 года и продолжилась в 2015 году, поразив жертв в более чем 20 странах. В результате совместных усилий «Лаборатории Касперского», Panda Security и Национального отдела по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов предполагаемые злоумышленники были обнаружены, идентифицированы и впоследствии задержаны. Вот ещё один пример важного и плодотворного сотрудничества частных компаний в сфере кибербезопасности с правоохранительными органами.

Плати или… ничего не плати

Программы-вымогатели пользуются популярностью у киберпреступников. Эффективность и спектр распространения различных их штаммов могут варьироваться, но цифры показывают, что CoinVault значился среди наиболее эффективных, особенно если учесть, что его жертвами стали десятки тысяч человек за довольно короткий промежуток времени.

Действительной причиной «перерыва» в его работе были совместные усилия экспертов «Лаборатории Касперского» и нидерландской полиции. Нашим исследователям удалось «вскрыть» и проанализировать вредоносную программу, несмотря на все методы запутывания, задействованные авторами CoinVault. Национальный отдел по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов и Национальная прокуратура королевства, в свою очередь, добыли базу данных из командного сервера управления CoinVault (содержавшего векторы инициализации, ключи и частные кошельки Bitcoin), что позволило создать инструмент расшифровки. Был запущен сайт Noransom, позволивший жертвам CoinVault расшифровать свои файлы, ничего не выплачивая преступникам.

Новые экземпляры

Первый отчёт по CoinVault был опубликован Securelist в ноябре 2014 года, а веб-сайт Noransom открыли в апреле 2015 года. Начальная кампания на тот момент прекратилась, но авторы проворно выпустили новую версию, которую перехватили исследователи из Panda Security и поделились с нами.

Технические подробности доступны на Securelist. Мы отметили, что авторы CoinVault запустили новую версию под названием BitCryptor, которая по сути несла в себе тот же самый код.

wide

Полиция Нидерландов

На этот раз «Лаборатория Касперского» и Panda Security поделились своими открытиями с полицией Нидерландов. И это привело к задержанию двух молодых людей (18 и 22 лет) из Амерсфорта, являвшихся, предположительно, авторами программы-вымогателя. Они пока всего лишь подозреваемые, до окончательного решения суда.

«Полиция Нидерландов часто сотрудничает с частными компаниями. В этом расследовании «Лаборатория Касперского» сыграла важную роль и помогла нам выявить и локализовать авторов CoinVault. Это пример того, как, работая вместе, мы можем поймать больше преступников», — сказал Томас Алинг из нидерландской полиции.

Интересно, что «фразы на безупречном голландском в исходном коде» в первую очередь помогли в поимке подозреваемых.

«По-голландски относительно сложно писать без ошибок [если ты не носитель языка], так что мы с самого начала дознания подозревали, что у предполагаемых авторов вредоносных программ голландские корни. Позже предположение подтвердилось. Победа в битве против CoinVault стала плодом совместных усилий правоохранительных органов и частных компаний, и мы добились отменного результата: задержали двух подозреваемых», — отметил Йорнт Ван Дер Виль, эксперт по компьютерной безопасности «Лаборатории Касперского».

Если пойманы настоящие преступники, это большая победа. Злоумышленники старались изо всех сил скрыть свою деятельность и сбить правоохранительные органы и экспертов по безопасности со следа. Кстати, авторы CoinVault удалили все до одной строчки на голландском в коде BitCryptor, очевидно пытаясь удалить намеки на происхождение программы, но уже были, по-видимому, на крючке.

Даже немного жаль их, потому что они так молоды, однако сами они по отношению к своим жертвам не были так уж великодушны. Пусть вершится правосудие. Хочется надеяться, что другие авторы программ-вымогателей перестанут считать себя неуловимыми.

Не забудьте почитать нашу прошлую статью о программах-вымогателях.