Cybercrime loont (toch) niet

Misdaad loont niet, is een bekend gezegde. Cybercrime en dan vooral het relatief makkelijke ransomware, lijkt wel te lonen. Verse arrestaties in Nederland spreken die notie echter tegen. Verdachten achter de Coinvault-ransomware krijgen nu de rekening gepresenteerd.

Formeel zijn de twee mannen (18 en 22 jaar) uit Amersfoort verdacht van betrokkenheid bij de omvangrijke Coinvault-operatie. Bij die internationale ransomwarecampagne zijn meer dan 1500 Windows-pc’s besmet met malware die daar vervolgens kostbare bestanden heeft gegijzeld. Zo’n digitale gijzeling gebeurt met krachtige encryptie waardoor de versleutelde bestanden niet langer toegankelijk zijn voor de eigenaren. Tenzij die slachtoffers losgeld betalen aan de afpersers.

Coinvault heeft in meer dan twintig landen huisgehouden, zo blijkt uit uitgebreid onderzoek naar deze ransomware. De National High Tech Crime Unit (NHTCU) van de Nederlandse politie heeft nu de vermoedelijke afpersers gelokaliseerd en geïdentificeerd. Ook securityleveranciers hebben meegewerkt aan deze opsporingsoperatie door diverse samples van de gebruikte malware aan te dragen.

De cybercriminelen achter Coinvault hebben hun malafide software namelijk diverse keren gewijzigd om telkens nieuwe slachtoffers op de korrel te kunnen nemen. Zo hebben ze geprobeerd tienduizenden computers wereldwijd te infecteren met hun gijzelingssoftware. Het merendeel van hun slachtoffers bevindt zich in Nederland, Duitsland, de Verenigde Staten, Frankrijk en Groot-Brittannië. Zeker 1500 pc’s zijn met succes gegijzeld, waarna de slachtoffers losgeldeisen in Bitcoins voor ogen kregen.

Vloeiend Nederlands

Coinvault werd vorig jaar opgemerkt, onder meer doordat het de onderscheidende eigenschap had dat het een gratis ‘voorproefje’ gaf aan slachtoffers. Zij konden één gegijzeld bestand gratis ontsleutelen. Dit als teken van goede wil. Daarnaast schakelt deze ransomware Windows’ automatische back-updienst VSS (volume shadow copy) uit.

De Coinvault-aanvallen werden eind vorig jaar, na onthullingen erover, plots stilgelegd, maar in april dit jaar is een nieuwe variant gedecteerd. Een variant met vloeiend Nederlands taalgebruik in de code. Dat er een ‘Dutch connection’ moest zijn, was duidelijk, want het is voor buitenstaanders relatief moeilijk om foutloos Nederlands te schrijven. En dat zette instanties op het spoor van de daders, ergens in ons eigen land.

Betaling voorkomen

In diezelfde maand dat de nieuwe variant met Nederlandse inhoud is ontdekt, is in samenwerking met de Nederlandse politie de gratis ‘databevrijdingssite’ NoRansom opgezet. Daar staan in beslag genomen decryptiesleutels klaar om Coinvault-slachtoffers te helpen. Naast de ‘sleutels’ wordt daar ook een gratis downloadbare decryptie-app aangeboden. Dit alles om betaling van losgeld te voorkomen.

Want cybercriminelen die ransomware inzetten, maken zich schuldig aan afpersing omdat het ze geld oplevert. Ik adviseer slachtoffers echter om hun afpersers nooit te betalen, want vaak krijg je hiermee je bestanden niet terug en daarnaast motiveert betaling cybercriminelen om hun werk voort te zetten. En dat moet niet het geval zijn. Misdaad hoort niet te lonen, ook cybercrime niet. De gelegenheid maakt de dief, om af te ronden met een ander gepast gezegde, maar niet als het aan de politie en de securityleveranciers ligt.