Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Coinvault-ransomware trof veel meer dan 1259 computersystemen'

Volgens beveiligingsbedrijf Kaspersky Lab heeft de Coinvault-ransomware aanzienlijk meer systemen besmet dan de 1259 die het Openbaar Ministerie noemde in de zaak tegen de Nederlandse makers ervan. Het zou om het tienvoudige kunnen gaan volgens het bedrijf.

Jornt van der Wiel, onderzoeker bij Kaspersky Lab, denkt dat er een nul aan het aantal van 1259 door Coinvault getroffen systemen toegevoegd kan worden. "Waarschijnlijk zijn er veel meer mensen besmet geraakt", zegt hij tegen Security.nl. Hij baseert dat op 14.000 sleutels die in 2015 op de command&control-servers van de ransomwaremakers gevonden werden.

Kaspersky Lab was betrokken bij het toevoegen van die sleutels aan de database van No More Ransom, een project om slachtoffers te helpen om van de gijzelingssoftware af te komen. Een jaar geleden maakte de initiatiefnemers bekend dat No More Ransom had geholpen minimaal 28.000 systemen te ontsmetten, waarbij het om meer varianten dan alleen Coinvault ging.

Donderdag maakte het Openbaar Ministerie bij de zaak tegen de twee Nederlandse makers en beheerders van Coinvault bekend dat uit een analyse bleek dat er  tussen 13 november 2014 en 26 september 2015 in totaal 1259 systemen besmet waren geraakt met de ransomware. Daarvan hadden 14 mensen aangifte gedaan en 93 mensen betaalden de criminelen om weer over hun bestanden te kunnen beschikken.

Het Openbaar Ministerie heeft afgelopen donderdag 240 uur taakstraf en een jaar cel geëist tegen de twee mannen uit Amersfoort, die in 2015 werden opgepakt.

Door Olaf van Miltenburg

Nieuwscoördinator

13-07-2018 • 15:57

36 Linkedin Google+

Reacties (36)

Wijzig sortering
Er zijn 14k sleutelparen. Dat wil zeggen 14k infecties, waarbij opgemerkt dient te worden dat sommige systemen meerdere male geinfecteerd waren geraakt en sommige systemen ook van onderzoekers / AV bedrijven / etc waren.

Owh ja, voor de duidelijkheid, ik was degene die dat artikel geschreven heeft.

Sterker nog, we hadden in het begin al zo rond de 2000 sleutelparen zo uit mijn hoofd (dat was toen de politie maar een klein gedeelte van de C2s had).

[Reactie gewijzigd door jorntvdw op 13 juli 2018 16:24]

Enig idee hoe het OM aan het getal 1259 is gekomen?
Het OM moet iets kunnen bewijzen als ze het ten laste leggen. Als ze tegen de rechter zeggen dat er een 12.000 besmettingen zijn geweest, komt het vrij klunzig over als je daarvan 10% kunt bewijzen. Daarnaast kan dit zelfs leiden tot vrijspraak als ze het slecht aanpakken
Als er aantoonbaar meer besmettingen zijn geweest en ze slaan er een lagere slag naar dan is het evengoed giswerk... en blijft het klunzig...

Feitelijk zijn er slechts 14 bezwaren tegen de ransomware aangetekend (aangiften). Ik vermoed dat die 14 aangevers gezamenlijk 1259 computers op de lijst gezet hebben.

De overigen zullen dan een eigen (civiele) zaak moeten aanspannen.
Aantal aangiftes? Die kunnen ze hard overhandigen
Terwijl de rest hieronder weer over elkaar heen buitelt om tot de meest factuele bijdrage te komen of Kaspersky te bashen, zou ik even willen zeggen: Goed werk!
Op de Volkskrant staat een goed achtergrond artikel met daarin informatie over hoe het gebouwd is en wie er achter zitten. Leuk om te lezen.
Moest wel even lachen toen ik de link openende op mijn telefoon. Goed stukje bewustzijn.
Het maakt de strafmaat na een tijdje niet meer uit hoeveel besmettingen er zijn.

Als je 100 of 200 traditionele inbraken pleegt is de kans groot dat de strafmaat ongeveer even hoog is.

Dan bouw je een strafdossier met de zaken die je zeker weet en hard kan maken. Verder graven heeft geen zin.
Een dag zitten per geïnfecteerd systeem zou een mooi afschrikwekkend systeem kunnen zijn.
Als elke infectie je 1 bitcoin oplevert (~5000,-) of zelfs maar 1 in de 10 infecties denk ik dat een hoop mensen die 'deal' nog zouden willen maken ook...
Grotere straffen werken niet, grotere pakkans wel.
hier rekenen ze het inderdaad niet meer individueel, maar in de VS bvb kan je voor elke infectie veroordeeld worden en dan belachelijke tijden celstraf krijgen als 300x 2 jaar cel
Is het bekend dat de "14000" keys unieke computers zijn geweest of was het mogelijk dat eenzelfde computer opnieuw besmet werd?
Ongetwijfeld het tweede. En vergeet ook niet dat een deel ook voortkomt uit de testen van AV bedrijven zoals Kaspersky. Maar op het einde maakt het niet uit. Als jij bij mij inbreekt, ik alle schade herstel en jij breekt opnieuw in dan zijn dat nog altijd 2 aparte feiten en niet 1 enkele inbraak.
"Waarschijnlijk zijn er veel meer mensen besmet geraakt"
Tja het OM moet iets meer dan waarschijnlijkheid bieden om tot een veroordeling te komen.
De twee heren hebben al meerdere malen excuses aangeboden in de rechtzaal dus het gaat hier even niet om het feit of er een veroordeling komt, maar meer over de schade die ze hebben aangericht. Dat geeft dan een beeld wat twee van dit soort ettertjes tegenwoordig in de samenleving kunnen aanrichten, en vervolgens alleen excuses en een taakstraf hoeven te doen. Een van deze criminelen mag nota bene ook nog aan de TU/e gaan studeren ook. Jammer dat we geen aankomende wetenschappers met een strafblad kunnen weigeren.
Als het relevant is voor de functie zou je op basis van een VOG op een bepaalde functie kunnen worden geweigerd. Aan de andere kant is het - voor iedere crimineel - prettig dat je voor een fout waarvoor je bent bestraft niet je hele leven hoeft te boeten.
(Ook voor de maatschappij trouwens want als iedereen met een strafblad nooit meer kan werken dan wordt het een kostbaar verhaal en bereik je zeker niet minder criminaliteit.)
Als ze er in slagen om 14000 systemen te infecteren moeten toch wel iets of wat technisch onderlegd zijn. Als ze dit nu nog zouden aanwenden in de positieve zin, dan kunnen ook zij een positieve bijdrage tot de maatschappij leveren...
Hij baseert dat op 14.000 sleutels die in 2015 op de command&control-servers van de ransomwaremakers gevonden werden.
Dat Kaspersky enkele westerse overheden als klant verliest is zeer spijtig, maar dat wordt al deels goedgemaakt door burgers die er net meer vertrouwen in krijgen. Kaspersky heeft de afgelopen jaren heel goed werk geleverd en er wordt door vele mensen en organisaties op vertrouwd en op gebouwd. Alsook het goede werk dat ze geleverd hebben icm de overheid tot die besloot hen ineens aan te vallen.

Niemand weet hoeveel systemen er in totaal geïnfecteerd zijn geweest. Maar het aantal sleutelparen op de C&C servers toont wel aan hoe vaak de software gestart is met het encryptieprocess door het sleutelpaar te genereren en naar de servers te versturen.
Je neemt in je eerste deel wel een interessante stelling in. Dat het deels wordt goedgemaakt door burgers.
Heb je daar dan concrete cijfers van dar burgers het verlies van grote klanten als overheden hebben gecompenseerd?
Dat zou enorm knap zijn daar op dit moment alleen Kaspersky zelf die gegevens heeft.


En het commentaar van @jorntvdw was mij al duidelijk dat er meer slachtoffers zijn dan het OM aangeeft.
Waarschijnlijk probeert Kaspersky hun vege lijf te redden nu ze door vele naties als softwara non grata zijn verklaard.

En zoals ze zelf zeggen...waarschijnlijk...ze weten het dus niet.
Shit heeft toch iemand mij door.....

Maar ik denk dat als ik 14k sleutelparen heb, we met een aantal C2's al op ongeveer 2k sleutelparen zaten, het waarschijnlijker is dat er meer dan 1259 slachtoffers zijn.
Assumption is the mother of all fuck-ups :)
And to assume makes an ASS of U and ME :P
Ik was ook slachtoffer maar heb geen aangifte gedaan.
Wellicht kan het nog steeds, mits je bewijzen hebt bewaard natuurlijk.
Hoe kwam je eraan lijkt mij.
Ik had hem destijds ook op een tijdelijke werk laptop. Met een amerikaanse onderzoeker op een forum onderzoek gedaan en hij was er bijna 90% van overtuigd dat ik hem heb gekregen door een malafide browser plugin te installeren. (Flash/java welke dus geinfecteerd was)
Is echter zo lang geleden dat ik het niet meer exact weet. De amerikaan was destijds ook betrokken bij het onderzoek begreep ik.
Volgens het artikel in de Volkskrant hebben ze de malware gekoppeld hebben aan populaire gekraakte programma’s (o.a. Photoshop) op torrents en nieuwsgroepen. Lijkt me reeel om aan te nemen dat je de infectie daar hebt opgelopen dus.
Op mijn werk laptop waren die tools op zeker niet aanwezig. Hij kwam net van een schone installatie af en alle plugins zijn geinstalleerd, naast een betaalde office 2013 destijds. (Flash/java/silverlight etc.) ik zal het forum eens opzoeken.
"Waarschijnlijk zijn er veel meer mensen besmet geraakt", zegt hij....
Ik denk dat er helemaal geen mensen besmet zijn geraakt. Computers daarentegen, dat kunnen er ook meer per persoon zijn.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True