image

Politie vindt sleutels van 2100 ransomware-slachtoffers

zaterdag 18 april 2015, 11:37 door Redactie, 3 reacties

De Nederlandse politie heeft inmiddels de decryptiesleutels van 2100 slachtoffers van de CoinVault-ransomware gevonden, waardoor deze mensen kosteloos hun versleutelde bestanden via een website van Kaspersky Lab kunnen ontsleutelen. Dat laat Jornt van der Wiel, beveiligingsanalist bij het Russische anti-virusbedrijf, tegenover Security.NL weten. Deze week werd bekend dat de politie samen met Kaspersky een oplossing had ontwikkeld zodat slachtoffers zonder te betalen hun gegevens kunnen terugkrijgen.

De zaak kwam aan het rollen toen een Zweeds slachtoffer ontdekte dat zijn decryptiesleutel op een gehackte Nederlandse server stond. De Zweed benaderde de servereigenaar, die met een kopie van de gegevens naar de politie ging. De politie besloot Kaspersky Lab te benaderen om te kijken hoe slachtoffers konden gewaarschuwd en de gevonden sleutels konden worden gebruikt om slachtoffers te helpen, zo laat Van der Wiel weten. De politie verstrekte alleen de keys, bitcoin wallets en initialization vectors (die nodig zijn om de bestanden te ontsleutelen) aan Kaspersky. De virusbestrijder maakte deze website waar slachtoffers hun decryptiesleutel en initialization vectors kunnen vinden om de bestanden te ontsleutelen.

Via de melding van het Zweedse slachtoffer waren de sleutels van 700 slachtoffers gevonden. Tijdens het onderzoek kreeg Kaspersky Lab een exemplaar in handen waarbij er een andere in Nederland gehoste server werd ontdekt. "De politie wist binnen een recordtijd van zes uur een kopie van die server te krijgen, met weer ongeveer 700 keys", merkt Van der Wiel op. In totaal ging het om 1400 slachtoffers, waarvan 700 Nederlanders. Afgelopen vrijdag ontdekte de politie weer een server, met weer zo'n 700 keys, waardoor het totaal aantal slachtoffers en gevonden sleutels op 2100 uitkomt. Hoeveel Nederlanders er onder de 700 nieuwe slachtoffers zitten is onbekend.

Nederlander

De politie liet in de aankondiging weten dat het vermoeden bestaat dat de dader zich in Nederland bevindt. Van der Wiel stelt dat er in de code van de ransomware "hardcoded" Nederlandse teksten werden aangetroffen. "Wat ons opviel was dat die stukken Nederlands redelijk foutloos waren en niet via Google Translate waren vertaald." Of de maker ook een Nederlander is, is volgens Van der Wiel lastig te zeggen. Het is ook mogelijk dat de dader de ransomware van andere cybercriminelen heeft gekocht en zelf de Nederlandse teksten heeft toegevoegd. "De auteur van die teksten is wel een Nederlander", merkt hij op. Hoeveel mensen via de website van Kaspersky hun gegevens hebben ontsleuteld kon Van der Wiel nog niet zeggen.

Reacties (3)
18-04-2015, 12:26 door Anoniem
De politie verstrekte alleen de keys, bitcoin wallets en initialization vectors (die nodig zijn om de bestanden te ontsleutelen) aan Kaspersky.

Ouch, dat gaat toch als snel richting concurrentie vervalsing door deze gegevens alleen aan deze partij ter beschikking te stellen en niet aan andere concurrenten die ook op dit vlak aktief zijn. Kan er zo een paar noemen....
18-04-2015, 14:19 door Eric-Jan H te D
Probleem van inkijkoperaties in het geval van versleutelde data substantieel verminderd.
18-04-2015, 23:48 door Anoniem
Door Anoniem: Ouch, dat gaat toch als snel richting concurrentie vervalsing door deze gegevens alleen aan deze partij ter beschikking te stellen en niet aan andere concurrenten die ook op dit vlak aktief zijn.
Je kan er van alles over vinden, maar de slachtoffers die hiermee zijn geholpen zal dat een zorg zijn. Wellicht moet de eerste vraag zijn waarom de politie of het OM dit niet zelf verzorgen. Mogen ze het niet? Kunnen ze het niet? Is er te weinig tijd voor? En misschien is Kaspersky het 4e of 10e bedrijf dat is gevraagd om, al dan niet tegen betaling, mee te werken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.