נעצרו בהולנד חשודים העומדים מאחורי קמפיין תוכנות כופר CoinVault

נעצרו בהולנד חשודים העומדים מאחורי קמפיין תוכנות כופר CoinVault
מאת: מערכת Telecom News, 30.9.15, 19:30
 
פושעי הסייבר ניסו להדביק עשרות אלפי מחשבים כאשר רוב הקורבנות היו בהולנד, גרמניה, ארה"ב, צרפת ובריטניה. הם הצליחו לנעול כ-1,500 מכשירים מבוססי Windows ודרשו מהנסחטים ביטקוין.
 
המשטרה ההולנדית עצרה 2 גברים מהעיר אמרספוט בהולנד בחשד למעורבות בקמפיין סחיטת דמי כופר CoinVault. מתקפות ה-ransomware החלו במאי 2014 ונמשכו גם השנה, כאשר הפושעים תקפו משתמשים ביותר מ-20 מדינות. מעבדת קספרסקי סייעה לחקירה של היחידה הולנדית הלאומית לפשעי הייטק (NHTCU) באיתור וזיהוי ההאקרים החשודים.

פושעי הסייבר ניסו להדביק עשרות אלפי מחשבים ברחבי העולם, כאשר מרבית הקורבנות היו בהולנד, גרמניה, ארה"ב, צרפת ובריטניה. הם הצליחו לנעול כ-1,500 מכשירים מבוססי Windows, ודרשו מהנסחטים מטבעות ביטקוין בתמורה לפיצוח הקבצים הנעולים.

פושעי הסייבר האחראיים על ההתקפות ניסו לשנות את דרכי העבודה שלהם מספר פעמים כדי להמשיך ולמצוא קורבנות חדשים. הדו"ח הראשוני של מעבדת קספרסקי על קמפיין CoinVault  פורסם בנובמבר 2014, לאחר שהתגלתה הדוגמא הראשונה של התוכנה הזדונית. ההתקפות נפסקו עד לאפריל 2015, אז התגלתה דוגמא חדשה.

באותו חודש, פתחו מעבדת קספרסקי והיחידה הלאומית לפשעי הייטק של משטרת הולנד את אתר noransom.kaspersky.com, שהוא מאגר של מפתחות פענוח עבור הקורבנות. בנוסף, גם אפליקציית הפענוח הייתה זמינה באופן מקוון. הדבר נתן לקורבנות CoinVault הזדמנות להשיב את הנתונים שלהם מבלי לשלם לפושעים.

במקביל, דוגמאות נוספות של נוזקת הכופר הועברו למעבדת קספרסקי ע"י Panda Security. חקירת הדוגמאות הללו הובילה לגילוי, שהן קשורות ל-CoinVault. ניתוח יסודי של כל דוגמאות הנוזקה הושלם והועבר משטרת הולנד.

תומאס אלינג, ממשטרת הולנד: "המשטרה ההולנדית משתפת פעולה לעיתים קרובות עם גורמים פרטיים. בחקירה זו, מעבדת קספרסקי סייעה לנו לזהות ולאתר את ההאקרים. הדבר מוכיח, שבעבודת צוות ניתן לתפוס פושעים רבים יותר. באפריל 2015 זוהתה דוגמא חדשה בשטח. הדבר המעניין הוא, שלדוגמא היו ניסוחים הולנדיים ללא רבב. קשה לכתוב בשפה ההולנדית ללא שגיאות. לכן, כבר מתחילת המחקר חשדנו, שקיים קשר הולנדי ליוצרי הנוזקות. מאוחר יותר אכן גילינו, שזה המקרה".

ג'ורנט ואן דר וייל, חוקר אבטחה במעבדת קספרסקי: "הניצחון בקרב כנגד CoinVault היה מאמץ משותף בין רשויות החוק ומעבדת קספרסקי והשגנו תוצאה חשובה: תפיסתם של 2 חשודים".

כדי למנוע הדבקה של מכשיר בנוזקה, מומלץ למשתמשים לוודא, שהתוכנות והאנטי-וירוס תמיד מעודכנים. רצוי לבצע באופן קבוע גיבוי הקבצים החשובים ולאחסנם על מכשיר ללא חיבור לאינטרנט. חשוב מאוד לפנות לעזרה ולא לשלם לפושעי הסייבר. תשלומים כאלה מניעים פושעי סייבר להמשיך בדרכם, אך לא תמיד מובילים לשחרור הקבצים.