Atakujący z użyciem ransomware'u CoinVault zatrzymani

Piotr Kupczyk 18-09-2015, 11:52

Zaczęta w maju ubiegłego roku operacja przestępcza z wykorzystaniem szkodliwego oprogramowania szyfrującego CoinVault może nieco przyhamować, w holenderskiej miejscowości Amersfoort aresztowano bowiem dwóch mężczyzn pod zarzutem zaangażowania we wspomnianą kampanię.

Cyberprzestępcy stojący za operacją CoinVault próbowali infekować dziesiątki tysięcy komputerów na całym świecie. Większość ofiar zlokalizowano w Holandii, Niemczech, Stanach Zjednoczonych oraz Wielkiej Brytanii. Atakujący zablokowali ponad 1500 komputerów z systemami Windows, żądając zapłacenia okupu w walucie Bitcoin za przywrócenie dostępu do danych.

Grupa CoinVault kilkukrotnie modyfikowała swoje szkodliwe programy, by zwiększyć zasięg oraz liczbę ofiar. Wstępny raport Kaspersky Lab dotyczący tego zagrożenia został opublikowany w listopadzie 2014 r., po wykryciu pierwszej próbki szkodliwego kodu. Działania osób stojących za operacją CoinVault zostały wówczas wstrzymane aż do kwietnia 2015 r., gdy wykryto nową próbkę szkodnika. Tego samego miesiąca Kaspersky Lab wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji uruchomił stronę noransom.kaspersky.com zawierającą bazę kluczy deszyfrujących oraz aplikację pozwalającą ofiarom szkodnika odzyskać zablokowane dane bez płacenia okupu cyberprzestępcom.

Komunikat wyświetlany przez CoinVault

Niedługo po tym z Kaspersky Lab skontaktowali się specjaliści z firmy Panda Security, którzy zidentyfikowali dodatkowe próbki szkodliwego kodu. Badanie przeprowadzone przez Kaspersky Lab wykazało, że próbki te są powiązane z operacją CoinVault. Następnie eksperci z Kaspersky Lab przeprowadzili dalszą analizę wszystkich zgromadzonych szkodliwych programów i przekazali wyniki holenderskiej policji.

- W kwietniu 2015 r. wykryliśmy nową próbkę CoinVaulta. Co ciekawe, kod zawierał frazy napisane bezbłędnym holenderskim. Jest to dość trudny język, zatem od początku podejrzewaliśmy, że osoby stojące za tymi atakami są Holendrami lub przynajmniej mają silne powiązania z tym krajem i językiem. Przyszłość pokazała, że mieliśmy rację - powiedział Jornt van der Wiel, badacz ds. bezpieczeństwa, Kaspersky Lab. W ubiegły poniedziałek, 14 sierpnia 2015 r., holenderska policja aresztowała dwóch mężczyzn (w wieku 18 i 22 lata) z holenderskiej miejscowości Amersfoort pod zarzutem zaangażowania w ataki z wykorzystaniem szkodliwego oprogramowania szyfrującego CoinVault.

W celu zapobiegania infekcjom szkodliwego oprogramowania szyfrującego eksperci zalecają użytkownikom, aby dbali o regularne uaktualnianie zainstalowanych aplikacji oraz oprogramowania antywirusowego. Dodatkowo użytkownicy powinni tworzyć kopie zapasowe cennych danych i przechowywać je na zewnętrznych nośnikach, które nie są na stałe podłączone do komputera. Ofiary szkodliwego oprogramowania szyfrującego nie powinny płacić okupu cyberprzestępcom – motywuje to atakujących do dalszej pracy, a dodatkowo zazwyczaj nie prowadzi do odzyskania zablokowanych danych.

Szczegóły techniczne dotyczące szkodliwego programu CoinVault są dostępne w serwisie SecureList prowadzonym przez Kaspersky Lab - zob. Coinvault, are we reaching the end of the nightmare?

Czytaj także: Uwaga na Shade, który nie tylko szyfruje dane użytkowników, ale też łamie hasła


Źródło: Kaspersky Lab
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031