En collaboration avec Kaspersky Lab, la police néerlandaise a arrêté lundi 14 septembre dernier deux hommes d’Amersfoort, soupçonnés d’être impliqués dans des attaques ransomware CoinVault. Les activités malware des cybercriminels duraient depuis mai de l’année dernière. Elles visaient des utilisateurs dans plus de 20 pays.
Kaspersky Lab a mené des recherches importantes qui ont aidé la National High Tech Crime Unit (NHTCU) de la police néerlandaise à dépister et identifier les pirates présumés. Panda Security a également contribué à l’enquête de police en indiquant des versions de malware associées.
Les cybercriminels de CoinVault ont tenté d’infecter des dizaines de milliers d’ordinateurs dans le monde. La plupart des victimes provenaient des Pays-Bas, d’Allemagne, des Etats-Unis, de France et du Royaume-Uni. Les pirates sont parvenus à verrouiller au moins 1500 machines Windows, avant de réclamer à leurs utilisateurs des bitcoins, la devise numérique, en échange du décryptage des fichiers.
Les cybercriminels, qui sont responsables de ces pratiques de rançonnement, ont tenté d’adapter leurs créations à différentes reprises, afin de pouvoir continuer à cibler de nouvelles victimes. Le premier rapport d’enquête de Kaspersky Lab sur CoinVault a été publié en novembre 2014, après que les premiers incidents du programme malveillant eurent été rapportés. La campagne s’est ensuite interrompue jusqu’avril 2015, lorsqu’un nouvel échantillon a été découvert. Pendant ce même mois, Kaspersky Lab et la National High Tech Crime Unit (NHTCU) de la police néerlandaise ont lancé le site web noransom.kaspersky.com, une base de données avec des clés de décryptage. Une application de décryptage a en outre été mise à disposition en ligne. Elle a permis aux victimes de CoinVault de récupérer leurs données sans devoir verser de rançon aux criminels.
Kaspersky Lab a ensuite été approché par Panda Security, qui avait trouvé des informations sur des versions de malware associées. Les recherches de Kaspersky Lab sur ces versions de maliciels ont révélé que celles-ci étaient effectivement liées à CoinVault. Une analyse approfondie de tous les maliciels apparentés a ensuite été réalisée et transmise à la Police néerlandaise.
« Kaspersky Lab a joué un rôle important dans cette enquête, en nous aidant à identifier et localiser les pirates Coinvault. Cela montre une fois de plus l’importance de la collaboration entre les pouvoirs publics et les sociétés privées. Et cela conduit à l’arrestation de davantage de criminels », précise Thomas Aling, porte-parole de l’Unité nationale de la police néerlandaise.
« En avril 2015, une nouvelle version de CoinVault a été observée. Elément intéressant: le malware comportait des phrases sans fautes en néerlandais. Le néerlandais est une langue relativement difficile à écrire sans fautes, de sorte que nous soupçonnions, depuis le début de notre enquête, qu’il existait une connexion néerlandaise avec les auteurs présumés du maliciel. Cela s’est avéré effectivement être le cas par la suite. Le combat remporté contre CoinVault a été le fruit d’efforts communs entre des autorités responsables de l’application des lois et des entreprises privées. Nous avons atteint un formidable résultat: l’arrestation de deux suspects », indique Jornt van der Wiel, Security Researcher chez Kaspersky Lab.
Pour empêcher qu’un ordinateur soit contaminé par un maliciel, la Police néerlandaise et Kaspersky Lab conseillent aux utilisateurs de veiller à mettre à jour systématiquement leurs logiciels et leurs programmes antivirus. Les utilisateurs doivent en outre effectuer des sauvegardes régulières de leurs fichiers précieux et/ou importants, et stocker ces sauvegardes sur un appareil dépourvu de connexion internet. Enfin, les utilisateurs ne doivent jamais payer de rançon – le paiement incite en effet les cybercriminels à continuer sans jamais donner la garantie que les fichiers soient effectivement déverrouillés.
Source : Kaspersky Lab
