De twee Nederlanders die worden verdacht van het ontwikkelen van de CoinVault-ransomware konden mede worden opgepakt via een verwijzing in de code, die naar hun Windows-gebruikersnaam wees. Het tweetal uit Amersfoort werd in september 2015 opgepakt voor het infecteren van 1500 computers met CoinVault, waaronder de systemen van 700 Nederlanders.
De eerste versie van CoinVault verscheen in november 2014. De campagne ging vervolgens door tot april 2015, toen een nieuw exemplaar werd ontdekt. "Interessant daaraan was dat de malware foutloze Nederlandse zinnen bevatte. Nederlands is een relatief moeilijke taal om volledig foutloos te schrijven, dus we vermoedden al vanaf het begin van ons onderzoek dat er een Nederlandse connectie was met de vermeende malware-auteurs", zo liet Jornt van der Wiel, Security Researcher bij Kaspersky Lab, destijds aan Security.NL weten.
Tijdens het analyseren van de ransomware vindt hij de locatie van de broncode die in c:\users\.. staat gevolgd door een voor en achternaam. In eerste instantie denkt Van der Wiel aan een afleidingsmanoeuvre waarbij de auteurs iemand anders de schuld willen geven, zo laat hij tegenover de Volkskrant weten. De onderzoeker deelt zijn gegevens met het het Team High Tech Crime van de politie. Die ontdekken dat de auteurs één keer hun eigen ip-adres gebruiken wanneer ze verbinding met de ransomware-server maken.
De gebruikersnaam en het ip-adres wijzen naar een jongen in het midden van Nederland. De makers blijken nog geen dertig kilometer verderop te wonen, in Amersfoort. De politie begint met het aftappen van de internetaansluiting, wat uiteindelijk tot de aanhouding van de twee leidt. De verdachten, die allebei hebben bekend, staan aanstaande donderdag voor de rechter. Eind oktober 2015 vond de Nederlandse politie de decryptiesleutels waarmee CoinVault-slachtoffers gratis hun bestanden konden laten ontsleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.