Guillermo A. Mata
El lunes 14 de
septiembre, la policía holandesa arrestó a dos hombres (de 18 y 22 años de edad) de Amersfoort, Holanda, por su presunta participación en los ataques con el ransomware CoinVault. La campaña de malware inició en mayo de 2014 y continúa atacando a usuarios en más de 20 países. Kaspersky Lab contribuyó con investigación importante la cual asistió a la Unidad Nacional contra Delitos de Alta Tecnología (NHTCU) de la policía holandesa para la localización e identificación de los presuntos atacantes. Panda Security también contribuyó a la investigación señalando muchas muestras del malware.
Los ciberdelincuentes detrás de CoinVault intentaron infectar a decenas de miles de computadoras en todo el mundo, de las cuales la mayoría de las víctimas se ubican en los Países Bajos, Alemania, Estados Unidos, Francia y Reino Unido. Tuvieron éxito en bloquear por lo menos 1500 máquinas con sistema operativo Windows, solicitando bitcoins para que los usuarios puedan descifrar sus archivos.
Los ciberdelincuentes responsables de la campaña de ransomware han estado tratando de modificar sus creaciones en repetidas ocasiones para continuar atacando a nuevas víctimas. El informe inicial de Kaspersky Lab acerca de CoinVault se publicó en noviembre de 2014 cuando apareció en el radar la primera muestra del programa malicioso. Después se detuvo la campaña hasta abril de 2015, fecha en que se detectó una nueva muestra. En el mismo mes, Kaspersky Lab y la Unidad Nacional contra Delitos de Alta Tecnología (NHTCU) de la policía holandesa presentaron noransom.kaspersky.com, un depósito de claves de descifrado. Además, se puso a disposición una aplicación de descifrado en línea. Esto les permitió a las víctimas de CoinVault la oportunidad de recuperar sus datos sin tener que pagarles a los delincuentes.
Luego, Kaspersky Lab fue contactada por Panda Security, la cual había encontrado información acerca de muestras adicionales del malware. La investigación de estas muestras por parte de Kaspersky Lab reveló que estaban relacionadas con CoinVault. De esta manera se pudo completar un análisis exhaustivo de todas las muestras asociadas de malware cuya información se le proporcionó a la policía holandesa.
“La policía holandesa coopera frecuentemente con entidades privadas. En esta investigación, Kaspersky Lab desempeñó un rol importante el cual nos ayudó a identificar y localizar a los atacantes de CoinVault. Esto es un ejemplo de que el trabajo conjunto puede capturar a más delincuentes”, – dijo Thomas Aling de la Policía Holandesa.
“En abril de 2015, Kaspersky Lab detectó una nueva muestra dirigida al público general. De manera interesante, la muestra contenía frases holandesas impecables en todo el binario. El holandés es una lengua relativamente difícil de escribir sin cometer ningún error, por tal razón sospechamos desde el inicio de nuestra investigación que había una conexión holandesa con los presuntos autores del malware. Esto finalmente resultó ser cierto. Ganar la batalla contra CoinVault ha sido el resultado de un esfuerzo conjunto entre la policía y compañías privadas, y hemos conseguido un gran resultado: el arresto de dos sospechosos”, dijo Jornt van der Wiel, Investigador de Seguridad de Kaspersky Lab.
