De rechtbank Rotterdam heeft twee Nederlandse mannen taakstraffen van 240 uur opgelegd voor het infecteren van systemen met hun Coinvault-ransomware. Dat is de maximale taakstraf. Ook is er een 'forse' voorwaardelijke gevangenisstraf opgelegd van onbekende duur.
In een bekendmaking van de rechtbank staat dat de mannen eigenlijk een onvoorwaardelijke gevangenisstraf hadden moeten krijgen, omdat ze zeer ernstige feiten hebben gepleegd. Er is echter sprake van bepaalde omstandigheden waardoor de straf uitkwam op een voorwaardelijke gevangenisstraf en een taakstraf. Zo hebben de mannen in de afgelopen drie jaar geen nieuwe strafbare feiten gepleegd en hebben ze meegewerkt aan het politieonderzoek. Daarnaast hadden ze nog geen strafblad en is er bijna drie jaar verstreken sinds hun aanhouding, waardoor ze 'lange tijd niet wisten wat ze boven het hoofd hing'.
De uitspraak is op het moment van schrijven nog niet gepubliceerd, waardoor onduidelijk is van welke duur de voorwaardelijke gevangenisstraf is. De rechtbank noemt deze alleen 'fors'. De mannen moeten ook een schadevergoeding aan verschillende mensen betalen. De rechtbank maakt niet bekend om wat voor bedragen het gaat. Het OM wilde dat de Nederlanders een onvoorwaardelijke gevangenisstraf van een jaar zouden krijgen. Bij de bekendmaking van de eis bleek ook dat slachtoffers hun schade vergoed wilden hebben. Een van hen zou het betaalde bedrag in bitcoins terug willen hebben.
Slachtoffers van de Coinvault-ransomware, die door de mannen tussen 2014 en 2015 werd verspreid, moesten 1 bitcoin betalen om hun door de malware versleutelde bestanden terug te krijgen. Volgens het OM was er sprake van ongeveer 1259 slachtoffers. Een onderzoeker van beveiligingsbedrijf Kaspersky Lab, die bij de opsporing van de twee was betrokken, zei onlangs dat het werkelijke aantal mogelijk hoger ligt. Dat baseert hij op de vondst van 14.000 decryptiesleutels die op de command-and-controlserver van Coinvault stonden. In 2015 werden de mannen gearresteerd. Ze waren toen 18 en 22 jaar oud.