CoinVault: Polizei nimmt Hintermänner von Ransomware-Attacken fest

CyberkriminalitätSicherheit
Betrügerischer deutscher Online-Shop-Betreiber in Spanien festgenommen(Bild: Shutterstock/Ilya Andriyanov)

Die niederländische Polizei hat am Montag zwei Männer verhaftet. Sie sollen den seit Mai 2014 andauernden Angriffen, von denen Nutzer in mehr als 20 Ländern betroffen waren, beteiligt gewesen sein. Die Behörden reagierten damit auf Hinweise der Sicherheitsunternehmen Kaspersky und Panda Security.

Am Montag hat die niederländische Polizei in Amersfoort zwei junge Männer wegen Verdacht auf kriminelle Aktivitäten im Netz festgenommen. Den 18 und 22 Jahre alten Niederländern wird vorgeworfen, maßgeblich an Angriffen mit der Erpressersoftware CoinVault beteiligt gewesen zu sein. Diese Ransomware verschlüsselte seit Mai 2014 Rechner von Nutzern in über 20 Ländern und erpresste von ihnen diverse Geldbeträge. Zum Ermittlungserfolg haben Hinweise der Experten von Kaspersky Lab und Panda Security beigetragen.

Die Kaspersky-Analysten Santiago Pontiroli und Jornt van der Weil schildern das Versteckspiel mit den Coinvault-Urhebern in einem Blogbeitrag ausführlich. Demnach zogen sich die Urheber nach ersten Berichten über ihre Malware zunächst zurück, modifizierten und verbesserten sie und starteten im Frühjahr 2015 erneut Angriffe.

Dabei unterlief ihnen ein wahrscheinlich folgenschwerer Fehler: Aufgrund von Sätzen in bestem Niederländisch im Code schränkten die Ermittler die Suche auf das Land ein. Denn, so ihre relativ einfache, aber letztendlich wahrscheinlich richtige Annahme: “Niederländisch ohne irgendwelche Fehler korrekt zu schreiben, ist relativ schwierig. Daher nahmen wir zu Beginn unserer Untersuchungen an, dass es bei den Malware-Autoren eine Verbindung zu den Niederlanden gibt.”

Mit diesem Hinweis forderte die CoinVault-Ransomware Nutzer zur Zahlung eines Lösegeldes auf (Screenshot: Kaspersky).
Mit diesem Hinweis forderte die CoinVault-Ransomware Nutzer zur Zahlung eines Lösegeldes auf (Screenshot: Kaspersky).

CoinVault ist deshalb bemerkenswert, weil es sich dabei um eine recht ausgefeilte Malware handelt. Sie kann zum Beispiel auf dem System nicht nur nach Abwehrtools suchen sondern auch Konfigurationsdateien in .in-Dateien ablegen, bringt in der aktuelleren Version einen Keylogger mit und kann so überprüfen, ob zum Beispiel die Feststelltaste aktiviert ist und kann sogar Screenshots erstellen und an den Kommandoserver übertragen. Mit BitCryptor ist seit Mai 2015 zudem ein Nachfolger von CoinVault in Umlauf. Diese Malware stammt wahrscheinlich von denselben Urhebern.

Letzterer Wurde aber bereits früher von der niederländischen Polizei beschlagnahmt. Mit den dort gefundenen Informationen konnten die Kaspersky-Experten zusammen mit den niederländischen Behörden ein Entschlüsselungstool für CoinVault-Opfer entwickeln, das kostenlos zum Download angeboten wird.

Die Cyberkriminellen hinter CoinVault versuchten zehntausende von Computern zu infizieren. Der Großteil der Opfer kommt aus den Niederlanden, Deutschland, Frankreich, Großbritannien und den USA. Ihnen gelang es nachweislich, mindestens 1500 Windows-Rechner zu sperren.

Tipp der Redaktion: Im Zeitalter der Cyberattacken gerät das BSI immer stärker in den Mittelpunkt der öffentlichen Aufmerksamkeit. Doch wie arbeitet das BSI? Ist das Amt vorbereitet, wenn Hacker eine Cyberattacke starten? Hartmut Isselhorst, Leiter der Abteilung Cybersicherheit, erklärt, was im Ernstfall passiert – und ob Firmen und Bürger genug für ihre Sicherheit tun.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen