Politie: dader achter Coinvault-ransomware is mogelijk in Nederland

De politie heeft aanwijzingen dat de dader achter de Coinvault-ransomware zich mogelijk in Nederland bevindt. Daarnaast stelt de politie dat het samen met Kaspersky een reeks sleutels in handen heeft waarmee door Coinvault versleutelde bestanden zijn vrij te geven.

Volgens het Team High Tech Crime van de politie zijn er concrete aanwijzingen dat de dader zich mogelijk in Nederland bevindt, maar arrestaties zijn nog niet verricht. De politie sluit echter niet uit dat dit binnen afzienbare tijd alsnog gebeurt. Het onderzoek naar de Coinvault-malware, die eind vorig jaar voor het eerst verscheen, zou op stoom zijn gekomen doordat een bedrijf en een particulier de politie op de aanval attendeerde en hen een mogelijk daderspoor verstrekte.

De politie stelt dat de persoon of personen achter de Coinvault-malware zich specifiek op Nederland hebben gericht. Er zijn circa zevenhonderd systemen bekend waarop de ransomware bestanden heeft versleuteld. Daarnaast zijn er ook honderden infecties in Duitsland en de VS.

In samenwerking met beveiligingsbedrijf Kaspersky Labs zegt het Team High Tech Crime de hand hebben weten te leggen op een serie decryptiesleutels. Deze kunnen gebruikt worden om bestanden die door de ransomware zijn versleuteld te ontgrendelen. Slachtoffers kunnen via een website bekijken hoe een computer kan worden vrij gegeven. Kaspersky levert tevens de benodigde decryptie-applicatie mee en biedt achtergrondinformatie over ransomware en hoe besmette computers na ontgrendeling opgeschoond kunnen worden.

Door Dimitri Reijerman

Redacteur

Feedback • 13-04-2015 15:1650

13-04-2015 • 15:16

50 Linkedin

Lees meer

Rechter legt 240 uur taakstraf op aan Nederlanders achter Coinvault-ransomware Nieuws van 26 juli 2018
OM eist cel- en taakstraf tegen verdachten achter Coinvault-ransomware Nieuws van 12 juli 2018
Amerikaans ziekenhuis betaalt veertig bitcoin na ransomware-aanval Nieuws van 18 februari 2016
Nieuwe ransomware richt zich op Linux-webservers die Magento draaien - update Nieuws van 9 november 2015
Twee Nederlanders opgepakt op verdenking verspreiding ransomware Nieuws van 17 september 2015
Ontwikkelaar brengt decryptie-toolkit uit voor diverse ransomware Nieuws van 23 mei 2015
'Politie gaat hostingproviders aanspreken op cybercrime' Nieuws van 20 april 2015
Nieuwe ransomware laat gebruiker één bestand 'gratis' ontsleutelen Nieuws van 16 november 2014
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab Malware Politie Ransomware

Reacties (50)

-Moderatie-faq
50
48
33
0
0
0
Wijzig sortering
BillyTheClit
13 april 2015 15:23
Vind dit maar een gek bericht.
Stel je voor dat de dader dit bericht leest. Dan maakt die zich toch uit de voeten?
MAX3400
@BillyTheClit13 april 2015 16:44
Dit bericht in het artikel is volledig kul en gebaseerd, lijkt me, op non-informatie afkomstig van een relatief falend digitaal opsporingsbeleid.

Vorige maand in ieder geval, met de nieuwste crypto-malwares bij de UvA, gemeentes etc. was er minstens 1 hostname gebruikt die middels geo-locatie in Frankrijk stond (en met een beetje zoeken was zelfs duidelijk in welk rack van de hoster). Deze hoster biedt zijn diensten wereldwijd aan aan consumenten en aan bedrijven maar je IP-adres komt uit een RIPE-block van 14 keuzes (auto-assigned) en je fysieke machine kan je hoogstens kiezen uit 5 fysieke lokaties.

Nou wil ik niet meteen een vingertje wijzen naar Nederlandse hosters maar het is kinderlijk eenvoudig om in NL een machine te leasen (dedicated of virtueel) ondergebracht bij een hoster met een Nederlands KvK en daardoor bijna impliciet een Nederlands IP krijgen. De controle hierop is werkelijk 0 zolang de hoster maar de BTW betaald krijgt; sommige NL-hosters controleren niet eens de naam en de creditcard (true story) als je diensten bij ze afneemt.

Afgezien dus van het feit dat er mogelijk een dader zich daadwerkelijk in NL bevindt/bevond en dan ook nog eens de Nederlandse nationaliteit heeft, kan ik helaas concluderen aan de hand van een aantal signatures van de malware, dat de origine niet uit Nederland komt maar zeer waarschijnlijk uit Litouwen. Een andere signature lijkt zijn origine te hebben gevonden ergens in Midden-Amerika maar helaas was de bijbehorende (underground) site niet meer toegankelijk om dit te verifieren.
Kalief
@MAX340013 april 2015 17:54
Blijkbaar is de conclusie van de politie over de locatie van een verdachte dus niet alleen gebaseerd op de locatie van een server.
Madshark
@MAX340013 april 2015 18:52
De Franse hoster die je noemt is OVH. Overigens prima provider verder, maar je kunt daar inderdaad anoniem een server of VPS huren. Heb daar ooit eens betaald met een prepaid 3V Visa kaart die niet op naam staat. (bank random reader ergens laten liggen, en moest toch tegoed opmaken) .
Maar ze zijn daar ook heel erg snel met het blokkeren van je server als er iets niet klopt.

[Reactie gewijzigd door Madshark op 13 april 2015 18:53]

frickY
@MAX340013 april 2015 19:14
Durf wel te wedden dan dit een LeaseWeb VPS is. Niets ten nadele van hun, maar ze zijn daar in het verledeb nu eenmaal een populair platforn voor gebleken.
Edgarz
@MAX340013 april 2015 19:58
Kom op, even minder tunnel visie graag.
De origine van de code zegt niets over de persoon/personen achter de scam.

De argumenten om het artikel als 'kul' te kwalificeren zijn compleet uit de lucht gegrepen. Net zoals de origine van de malware is de fysieke serverlocatie ook niet van belang. Het artikel stelt ook helemaal niet dat de aanwijzingen afgeleid zijn hiervan. De werkelijke bronnen zullen tot aan het proces ongetwijfeld onbenoemd blijven.

Ergo, je argumenten zijn meer kul dan het artikel.
totaalgeenhard
@MAX340014 april 2015 00:07
Maakt het iets uit waar iets gehost is?

Verder vergeet je anonieme betaal methodes, zoals cash, bitcoins en prepaid creditcards.

Maar dat maakt voor opsporing helemaal niet uit.

Zolang iemand zo slim is om diensten in Europa af te nemen hebben ze een half jaar de tijd om dat te onderzoeken.

Ook kan het zijn dat men juist onrust wil veroorzaken, als je iet uit zijn hol wil krijgen werkt rook en vuur het beste.

Als je dan een tap op zijn lijnen heb kan diens angst/paniek juist onzorgvuldig communiceren triggeren waarmee je mogelijk zaak hard kunt krijgen.

Dat ze ergens sleutels gevonden hebben heeft al aan dat politie en diens helpers zelf al e.a. aan onrechtmatig handelen op hun geweten hebben op zijn minst diefstal van die sleutels.

Ook kan het zijn dat iemand in zijn omgeving erachter kwam en het is gaan melden.
Auredium
@BillyTheClit13 april 2015 15:29
Mogelijk hebben ze al een aantal mensen op het oog en hopen ze dat via verdacht verkeer de dader zichzelf bevestigd of verraad.

Het is in ieder geval goed dat er sleutels zijn en dat er software is voor de decryptie. Dat zou de cashflow naar de dader(s) moeten verminderen. Schofterige chantagesoftware. De enige echte beveiliging is preventief een back-up op een veilige locatie te hebben van je belangrijkste bestanden.
Balder©
@Auredium13 april 2015 16:22
Ook natuurlijk
1) Niet klikken op .exe bestanden die je niet kent.
2) Emails met gecomprimeerde (rar, zip) niet openen en of als er een .exe inzit deze niet openen.
3) Websites die je een flashplayer of ander programma willen laten downloaden zonder je naar de officiele site door te sturen niet vertrouwen. En dan geldt natuurlijk weer stap 1)

[Reactie gewijzigd door Balder© op 13 april 2015 16:23]

Anoniem: 507050
@Balder©13 april 2015 16:29
Ook natuurlijk
1) Niet klikken op .exe bestanden die je niet kent.
2) Emails met gecomprimeerde (rar, zip) niet openen en of als er een .exe inzit deze niet openen.
Dat weet jij, dat weet ik, maar hoeft maar 1 van die 500 gebruikers in mijn bedrijf te zijn die het niet weet.
Virusscanners vangen de nieuwste niet en ineens zijn alle bestanden waar die gebruiker bij kan versleuteld. Dus de enige echte beveiliging is een backup.
BenGenaaid
@Anoniem: 50705013 april 2015 17:16
Ja en die backup moet wel 1 file zijn als die op dezelfde computer staat, kan je gratis decrypten ;P
Anoniem: 507050
@BenGenaaid13 april 2015 17:55
Bestanden op laptops zelf zijn niet mijn verantwoordelijkheid, ook dat weten die gebruikers heel goed :p maar ook daar krijg ik nog net iets te vaak vragen over of ik ze terug kan zetten uit een backup
Roel911
@Anoniem: 50705013 april 2015 23:00
Als je Windows gebruikt: previous versions een idee?
Balder©
@Anoniem: 50705013 april 2015 16:50
Dat ben ik sowieso met je eens.
Tevens je medewerkers een korte cursus geven.
En op goed geluk gebeurt het je misschien nooit.

Ow en weet je het niet zeker roep iemand erbij natuurlijk.

[Reactie gewijzigd door Balder© op 13 april 2015 16:51]

Zezura
@Anoniem: 50705014 april 2015 01:46
Back-up locatie is ook schrijftaal voor deze malware dus die kan ook de backups encrypten..
Dus wat heb je dan aan backups ??
markvt
@BillyTheClit13 april 2015 15:27
Misschien willen ze hem/haar uit de tent lokken ofzo hiermee.
Jism
@markvt13 april 2015 17:36
Mischien weten ze het al, ligt er een tap, en met een nieuwsbericht zoals deze er wat meer info wegkomt van die tap. :) You never know.

Het is en blijft ransomware in de meest ernstigste vorm. Mensen worden afgeperst om geld te betalen voor hun eigen bestanden.
thedon46
@BillyTheClit13 april 2015 15:29
Als ze weten wie dat is maakt diegene zich daardoor alleen maar meer verdacht. en wie weet maakt hij/zij daardoor fouten. er zal vast wel een tactiek achter zitten
freaky
@BillyTheClit13 april 2015 15:28
Misschien is dat wel wat ze willen. Mensen in het nauw maken rare sprongen.
IJzerlijm
@BillyTheClit13 april 2015 15:28
Misschien willen ze dat juist, dat die persoon tickets koopt.
Bart_Smith
@BillyTheClit13 april 2015 15:32
Niet als deze nog bij mama woont :)
ultimasnake
13 april 2015 15:58
Toch wel 'interessant' dat de ransomware ook echt af te kopen is, dus laten we even stellen 'eerlijk' is.
lordprimoz
@ultimasnake13 april 2015 16:08
Heel simpel, als ze de data niet ontsleutelen nadat iemand betaald heeft, dan betaald een ander persoon zowiezo niet meer, gezien die toch nooit zn data meer terug zou krijgen.

Na betaling krijg jij je de data weer terug, dus blijft men ook betalen hiervoor..... want ja, soms is die data belangrijk
ultimasnake
@lordprimoz13 april 2015 16:30
Onder ons 'tweakers' inderdaad een goed punt, maar de normale computer geburiker trapt ook nog meermaals in phishing e-mails (wat waarschijnlijk in de eerste instantie de besmetting al veroorzaakte) terwijl men heel hard roept: Is niet echt, werkt niet (behalve in Cyanide & Happiness: https://www.youtube.com/watch?v=s3zjRcMnRNY )
Ramon
@ultimasnake13 april 2015 16:04
Ja als het niet "eerlijk" was dan had de tweede persoon en verder nooit betaald natuurlijk. Verder blijft het gewoon chantage.

[Reactie gewijzigd door Ramon op 13 april 2015 16:04]

Neko Koneko
@ultimasnake14 april 2015 07:56
Toch wel 'interessant' dat de ransomware ook echt af te kopen is, dus laten we even stellen 'eerlijk' is.
Nee, zelfs niet tussen aanhalingstekens. Dit is op geen enkele manier 'eerlijk' te noemen. Ik hoop dat ze de verantwoordelijke pakken en dat hij/zij financieel helemaal kapot gemaakt wordt.
.SnifraM
13 april 2015 15:22
Ben benieuwd of het brein hierachter een Nederlander is. Als je de verhalen zo leest zal er in ieder geval flink geld verdiend zijn met de goede klantenservice :+ 8)7
nexhil
@.SnifraM13 april 2015 15:53
VOC mentaliteit straalt er wel een beetje vanaf :D
Dark Angel 58
@.SnifraM14 april 2015 10:17
Ben benieuwd of het brein hierachter een Nederlander is.
Het brein... Is dat niet Tim Kuik? :P
biteMark
13 april 2015 16:15
<offtopic>Stel dat meneer de ontwikkelaar zich onder ons bevind... Dat hij een member is van de Tweakers community... Best een raar idee als je erover nadenkt.</offtopic>

Ik hoop dat de polite geen steken laat vallen als de dader inderdaad een Nederlander is. Dit is echt een lage manier van mensen geld aftroggelen.. Je weet dat foto's en dergelijke erg dierbaar kunnen zijn, maar daar hebben deze lui blijkbaar geen enkel respect voor!
.SnifraM
@biteMark13 april 2015 16:26
Uiteindelijk een beetje hetzelfde als 'normale' diefstallen... Als ze maar geld opleveren.
Of je het nu verkoopt aan een vreemde of aan de oorspronkelijke eigenaar (die er hoogstwaarschijnlijk het meest voor over heeft in dit geval).

Geld is geld toch? :X

[Reactie gewijzigd door .SnifraM op 13 april 2015 16:27]

COW_Koetje
13 april 2015 15:37
Lijkt een beetje op "je verrader slaapt nooit" meer dan dat de politie echt concreet iets heeft kunnen vinden.
En dat voor een randsomware die al zoveel 'schade' heeft gemaakt.
Dat geeft veel vertrouwen dat als er een echte gerichte aanval zou zijn we hier snel op kunnen reageren.
Hugo-Q
13 april 2015 16:07
Ik hoop dat ze die gasten pakken, ik vind het zo ontzettend laag. Niveautje: stelen van bejaarden. Iemand is kwetsbaar: ha laat ik daar lekker misbruik van gaan maken. Miezerig en laf.
CMG
13 april 2015 16:07
Aan de hand van het Kaspersky artikel kunnen ze de IV en KEY bepalen aan de hand van het getoonde bitcoin adres; beetje jammer dat ze dat stuk niet beschreven hebben.

Zie ook https://noransom.kaspersk...nvault-decrypt-manual.pdf

[Reactie gewijzigd door CMG op 13 april 2015 16:08]

CyberDonky
13 april 2015 16:29
THTC heeft wel de decryptiesleutels, maar elk bestand is toch versleuteld door een key dat is aangemaakt door een PRNG. Als THTC i.s.m. Kaspersky een decryptietool wilt uitbrengen, dan kunnen zij beter 'het algoritme' achterhalen. Dit valt alleen maar de brute forcen lijkt mij en dat lijkt mij niet de oplossing.

Had het THTC / Kaspersky Labs beter dit bericht niet kunnen uitbrengen.. zijn makers nu dan niet op de hoogte en zit versie 2.0 nu niet op de loer van de makers? Push update wat door CNC wordt uitgevoerd en slachtoffers zijn nog meer de piesang.

Toevoeging
Het stomme is eigenlijk dat dit eigenlijk nu pas bekend wordt/is. Dit doet mij denken aan het bericht van @SanderBakker op Tweakers. Link: http://gathering.tweakers...message/43306984#43306984

Nederlands -> Versie 1.0.1.1 CoinVault http://i.imgur.com/GVKTyVu.png
Engels -> Versie 1.1.0.0* CoinVault http://ic.tweakimg.net/ext/i/imagenormal/2000561232.png
* = Ik geloof deze versie, kan iemand natrekken?

De versie die in het artikel getoond wordt is een nieuwere versie (zoals je de GUI ziet). Z'n oorspronkelijke doel was misschien wel op de Nederlanders gemunt, maar is toen gegaan op groter bereik en de taal omgezet is naar Engels.

[Reactie gewijzigd door CyberDonky op 13 april 2015 17:03]

GeeMoney
13 april 2015 16:46
Mogen ze de daders snel opsporen en vast zetten.
Ik ben zelf getroffen en heb uiteindelijk betaald omdat de foto's mij te belangrijk waren. ( en ja ik heb back-ups tot in de puntjes geregeld ik werd echter getroffen tijdens het laden van mijn camera kaart zie forum )
Support vanuit CoinVault was gek genoeg uitstekend geregeld. Ik mailde nadat ik betaald had en werd tot de laatste foto geholpen tijdens decrypten dat dan weer wel.

[Reactie gewijzigd door GeeMoney op 13 april 2015 20:32]

Anoniem: 270261
13 april 2015 15:38
waarom zou de dader die bitcoin wallet uberhaupt gebruiken? ik zou gewoon alles zen gang laten gaan en na een aantal jaren (5 - 10) deze op anonieme credit cards pompen
dezejongeman
@Anoniem: 27026113 april 2015 16:22
de kans bestaat dat bitcion na 5-10 jaar 0 komma 0 waard is. het is nog steeds geen erkend valuta. als de dader er wat aan over wil houden zal die op een zekere tijd iets met de coins moeten doen.

Ik ben wel benieuwd wat ze met dit (opzettelijk gelekte) nieuws willen bereiken? hopen ze dat de dader(s) zijn ransomeware van een update voorziet omdat die nu zonder betaling te ontgrendelen is? Daarmee hopen op een fout van der dader(s) die als goede extra bewijslast kan dienen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee