Skip to main content
vernetzte kompetenz sicherheitsmanagement

Festnahme in Holland

Zusammenarbeit zwischen niederländischer Polizei und Kaspersky Lab


Am Montag, den 14. September, verhaftete die niederländische Polizei zwei Männer (18 und 22 Jahre alt) aus Amersfoort, Niederlande, wegen des Verdachts der Beteiligung an den CoinVault-Ransomware-Attacken [1]. Die im Mai 2014 begonnene Malware-Kampagne setzte sich in diesem Jahr fort und zielte auf Nutzer in mehr als 20 Ländern ab. Kaspersky Lab steuerte bei den Ermittlungen wichtige Untersuchungsarbeit bei, welche die National High Tech Crime Unit (NHTCU) der niederländischen Polizei bei der Identifizierung der mutmaßlichen Täter unterstützte.Die Experten von Panda Security wirkten ebenfalls bei den Ermittlungen mit, in dem sie auf mehrere Malware-Samples aufmerksam machten.

 

Die Cyberkriminellen hinter CoinVault versuchten weltweit zehntausende von Computern zu infizieren. Der Großteil der Opfer befand sich in den Niederlanden, Deutschland, den USA, Frankreich und dem Vereinigten Königreich. Den Cyberkriminellen gelang es, mindestens 1.500 Windows-basierte Rechner zu sperren, wobei sie Bitcoins von den Nutzern verlangten, um die Dateien zu entschlüsseln.

Die für die Ransomware-Kampagne verantwortlichen Cyberkriminellen versuchten mehrmals den verwendeten Trojaner zu verändern, um immer neue Opfer anzuvisieren. Der ursprüngliche Bericht [2] von Kaspersky Lab wurde im November 2014 veröffentlicht, nachdem man auf das erste Malware-Sample aufmerksam wurde. Die Kampagne pausierte bis April 2015, als ein neues Sample entdeckt wurde. Im selben Monat starteten Kaspersky Lab und die National High Tech Crime Unit (NHTCU) der niederländischen Polizei die Webseite noransom.kaspersky.com [3], die neben einem Schritt-für-Schritt-Leitfaden auch eine Sammlung von entsprechenden Entschlüsselungscodes zur Verfügung stellte. Dies gab den Opfern von CoinVault die Gelegenheit, ihre Daten zurück zu gewinnen, ohne den Kriminellen etwas zu zahlen.
Anschließend wurde Kaspersky Lab von Panda Security kontaktiert, die Informationen über weitere Malware-Samples gefunden hatten. Die Untersuchung dieser Samples durch Kaspersky Lab ergab einen Bezug zu CoinVault. In der Folge wurde eine vollständige Analyse aller mit CoinVault assoziierten Malware-Samples durchgeführt und der niederländischen Polizei übergeben.
„Die niederländische Polizei arbeitet regelmäßig mit der Industrie zusammen. In dieser Ermittlung spielte Kaspersky Lab eine wesentliche Rolle bei der Identifizierung und Ortung der mutmaßlichen Coinvault-Angreifer. Es zeigt sich, dass man mehr Kriminelle erwischen kann, wenn man zusammenarbeitet.“, sagt Thomas Aling von der niederländischen Polizei.

„Im April 2015 wurde ein neues Sample in freier Wildbahn entdeckt. Interessanterweise weist das Sample einwandfreie niederländische Sätze über die gesamte Programmdatei hinweg auf. Es ist sehr schwierig, auf Niederländisch zu schreiben, ohne einen Fehler zu machen. Wir vermuteten bei unseren Untersuchungen von Anfang an, dass eine niederländische Verbindung unter den angeblichen Malware-Autoren vorlag. Diese Vermutung stellte sich später als richtig heraus. Die erfolgreiche Bekämpfung von CoinVault war eine gemeinsame Anstrengung zwischen Strafverfolgungsbehörden und Privatunternehmen, die zu einem tollen Jornt van der WielErgebnis führten: Der Festnahme von zwei Verdächtigen“, sagt Jornt van der Wiel, Sicherheitsexperte bei Kaspersky Lab.

Um einen Rechner vor der Infizierung mit Malware zu schützen, empfehlen die niederländische Polizei und Kaspersky Lab den Nutzern, ihre Software sowie ihr Antivirus-Programm immer auf dem neuesten Stand zu halten. Darüber hinaus sollten Nutzer regelmäßig Sicherungen von wertvollen und/oder wichtigen Dateien auf externen, nicht permanent angeschlossenen, Datenträgern durchführen und die Sicherung auf einem Gerät ohne Internetverbindung speichern. Zu guter Letzt sollten Nutzer in solchen Fällen nie zahlen. Zahlungen motivieren Cyberkriminelle weiter zu machen und dies führt überdies nicht immer zur tatsächlichen Freigabe von Dateien.

Mehr Informationen über die CoinVault-Ransomware sind auf dem Blog-Eintrag auf https://securelist.com/blog/research/72187/coinvault-are-we-reaching-the-end-of-the-nightmare/ erhältlich.

__________________

[1] https://securelist.com/blog/research/72187/coinvault-are-we-reaching-the-end-of-the-nightmare/
[2] https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/
[3] http://www.kaspersky.com/de/about/news/virus/2015/CoinVault-Erpressersoftware_auch_im_deutschsprachigen_Raum_aktiv

 

nach oben