De politie heeft maandag twee mannen uit Amersfoort aangehouden die ervan worden verdacht wereldwijd ransomware te hebben verspreid. 1500 computers werden door de ransomware versleuteld. Slachtoffers moesten voor het ontgrendelen van de bestanden op de computer een bedrag in bitcoins betalen.
Het Russische anti-virusbedrijf Kaspersky Lab kwam met de informatie waarop de politie het onderzoek startte. Ook Panda Security droeg bij aan het politieonderzoek door te wijzen op gerelateerde malware-versies. Bij dit onderzoek kwamen twee verdachten naar voren die de CoinVault-ransomware over de hele wereld naar tienduizenden computers hadden verstuurd. Bestanden op 1500 computers werden echt versleuteld.
Slachtoffers die weigerden te betalen raakten hun bestanden kwijt, zoals vakantiefoto en -videos en presentaties. De politie deed huiszoeking en nam onder andere gegevensdragers mee voor nader onderzoek. De verdachten, mannen van 18 en 22 jaar oud, zullen vandaag worden voorgeleid bij de rechter-commissaris in Rotterdam.
De eerste versie van CoinVault verscheen in november 2014. De campagne ging vervolgens door tot april 2015, toen een nieuw exemplaar werd ontdekt. In dezelfde maand lanceerden Kaspersky Lab en de National High Tech Crime Unit (NHTCU) van de Nederlandse politie de website noransom.kaspersky.com, een database met decryptiesleutels. Bovendien werd een decryptie-applicatie online beschikbaar gesteld. Dit gaf CoinVault-slachtoffers de kans om hun gegevens weer terug te krijgen zonder de criminelen te hoeven betalen.
"In april 2015 werd een nieuwe versie van CoinVault waargenomen. Interessant daaraan was dat de malware foutloze Nederlandse zinnen bevatte. Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs", aldus Jornt van der Wiel, Security Researcher bij Kaspersky Lab.
Om infecties te voorkomen adviseert de politie internetgebruikers om hun software en anti-virusprogramma's up-to-date te houden en back-ups te maken. "Ook is het niet verstandig mailberichten van onbekende afzenders te openen. Tot slot: betaal nooit! Betaling motiveert de cybercriminelen om deze methode te blijven hanteren en leidt bovendien niet altijd tot daadwerkelijke ontgrendeling."
Deze posting is gelocked. Reageren is niet meer mogelijk.