La Police néerlandaise a arrêté lundi 14 septembre dernier deux hommes d’Amersfoort aux Pays Bas, soupçonnés d’être impliqués dans des attaques ransomware CoinVault.
Les attaques des cybercriminels avaient débuté en mai 2014 et s’étaient poursuivies jusqu’à aujourd’hui, prenant pour cibles des utilisateurs dans plus de 20 pays. Kaspersky Lab a réalisé d’importants efforts de recherches afin d’aider la National High Tech Crime Unit (NHTCU) de la Police néerlandaise à dépister et identifier les pirates présumés. Panda Security a également contribué à l’enquête de police en indiquant des versions de malware associées.
Les cybercriminels de CoinVault ont tenté d’infecter des dizaines des milliers d’ordinateurs dans le monde dont la plupart des victimes se trouvaient aux Pays-Bas, en Allemagne, aux Etats-Unis, en France et au Royaume-Uni. Les pirates sont parvenus à verrouiller au moins 1 500 ordinateurs fonctionnant sous Windows, avant de réclamer une rançon sous la forme de « bitcoins » en échange du décryptage des fichiers.
Les cybercriminels responsables de cette campagne d’extorsion en ligne ont tenté d’adapter leurs techniques d’approches à différentes reprises, afin de pouvoir continuer à toucher de nouvelles victimes. Le premier rapport d’enquête de Kaspersky Lab sur CoinVault a été publié en novembre 2014, après que les premiers incidents du programme malveillant ont été rapportés. La campagne s’est ensuite interrompue jusqu’avril 2015, date à laquelle un nouveau cas a été découvert. Pendant ce même mois, Kaspersky Lab et la National High Tech Crime Unit (NHTCU) de la Police néerlandaise ont lancé le site web noransom.kaspersky.com, une base de données avec des clés de décryptage. Une application de décryptage a en outre été mise à disposition en ligne afin de permettre aux victimes de CoinVault de récupérer leurs données sans devoir verser de rançons aux criminels. Kaspersky Lab a ensuite été approché par Panda Security qui avait trouvé des informations sur des versions de malware associées et dont les recherches de Kaspersky Lab ont révélé que celles-ci étaient effectivement liées à CoinVault. Une analyse approfondie de tous les malwares apparentés a ensuite été réalisée et transmise à la Police néerlandaise.
En avril 2015, lorsqu’une nouvelle version de CoinVault avait été observée, un élément intéressant avait été observé : le malware comportait des phrases sans fautes en néerlandais. Le néerlandais est une langue relativement difficile à écrire sans fautes, de sorte que nous soupçonnions, depuis le début de notre enquête, qu’il existait une connexion néerlandaise avec les auteurs présumés du malware. Ce qui s’est avéré être le cas par la suite. Le combat remporté contre CoinVault a été le fruit d’efforts communs entre des autorités responsables de l’application des lois et des entreprises privées. Nous avons atteint un formidable résultat: l’arrestation de deux suspects.