CoinVault : pris en flagrant délit

Les créateurs d’un des premiers outils de chiffrement de ransomwares sont poursuivis en justice aux Pays-Bas, et ce en grande partie grâce à nous.

En 2015, Kaspersky Lab a aidé la police néerlandaise qui lutte contre la cybercriminalité a interpellé les créateurs d’un des tous premiers ransomwares, CoinVault. L’outil de déchiffrement que nous avons développé pour ce ransomware nous a encouragé à créer le portail NoRansom, où nous mettons en ligne des outils qui vous permettent de débloquer vos fichiers après avoir subi diverses attaques de chiffrement. Même si les créateurs de CoinVault ont été interpellés il y a un certain temps, la première audience a eu lieu récemment, et notre expert Jornt van der Wiel était présent.

CoinVault s’est déchaîné en 2014 et 2015, et a affecté des dizaines de pays dans le monde entier. Selon nos experts, plus de 10 000 personnes en ont été victimes. Les personnes à l’origine de ces attaques sont deux frères néerlandais, âgés de 21 et 25 ans, qui ont développé et diffusé le cheval de Troie. Chaque victime recevait une demande de rançon qui s’élevait à 1 bitcoin, soit environ 200 € à l’époque. Grâce à cette attaque, les deux frères ont dérobé près de 20 000 €.

CoinVault était en avance sur son temps En plus du chiffrement, il disposait de caractéristiques que nous retrouvons dans les ransomwares et chevaux de Troie actuels. Par exemple, la victime pouvait déchiffrer gratuitement un seul fichier. Mentalement, cette technique joue en faveur des cybercriminels : lorsque les victimes se rendent compte qu’elles ne sont qu’à un clic de pouvoir récupérer leurs données si importantes, elles sont encore plus tentées de payer la rançon. Le compte à rebours affiché sur l’écran est une autre des méthodes psychologiques utilisées par CoinVault, puisqu’il calcule inexorablement combien de temps il reste à la victime avant que la somme de la rançon augmente.

Deux néerlandais

Nous avons analysé CoinVault et avons décrit sa structure en détails fin 2014. Les auteurs du malware se sont donnés beaucoup de mal pour le dissimuler, éviter qu’il soit détecté par les solutions de sécurité, et gêner leurs analyses. Par exemple, le ransomware peut déterminer s’il est exécuté dans une sandbox, et si son code est fortement offusqué.

Cependant, nos experts ont pu obtenir le code source, et trouver un indice qui a finalement causé l’interpellation des criminels. Le malware contenait certains commentaires en néerlandais. Il était fort probable que le malware vienne des Pays-Bas.

Nous avons partagé ces informations avec la police néerlandaise qui lutte contre la cybercriminalité, qui après quelques mois a communiqué avoir détenu avec succès les cerveaux de cette attaque. Grâce à notre coopération avec la police néerlandaise, nous avons pu obtenir les clés du serveur C&C, et développer un outil de déchiffrement qui permet de récupérer les données.

La Justice étudie les preuves

La police a recueilli les déclarations de près de 1 300 victimes de ce ransomware. Certaines se sont présentées en personne au tribunal pour exiger une indemnisation. Par exemple, le ransomware a gâché les vacances d’une des victimes. Elle a estimé que les dommages s’élevaient à 5 000 €, et a soutenu que cette somme lui permettrait de financer un autre voyage.

Une autre victime a demandé le remboursement du paiement de la rançon dans la même monnaie, en Bitcoin. Depuis l’attaque, le taux de change de cette crypto-monnaie a presque été multiplié par 30. Si le tribunal approuve cette demande, ce sera la première fois que le plaignant gagne de l’argent grâce à l’attaque d’un ransomware.

Lors d’une récente audience, le procureur a demandé que les coupables soient condamnés à trois mois de prison ferme, neuf mois de prison avec sursis, et 240 heures de travaux d’intérêt général. La défense a demandé à la Cour de ne pas mettre les deux frères derrière les barreaux, en affirmant que les prévenus avaient coopéré à l’enquête, qu’un était indispensable dans son emploi actuel, et que l’autre allait à l’université. Le verdict sera prononcé lors de la prochaine audience qui aura lieu le 26 juillet.

Les intrus seront poursuivis

Nous avons toujours dit que céder aux criminels ne fait que les encourager. Le procès des créateurs de CoinVault montre que même si les cybercriminels sont apparemment anonymes, ils ne peuvent pas échapper à leur châtiment. Au lieu d’attendre trois ans pour obtenir justice, il vaut mieux bien vous protéger en avance. N’oubliez pas nos conseils de base :

  • Ne cliquez pas sur les liens suspects et n’ouvrez pas les pièces jointes douteuses des e-mails.
  • Sauvegardez régulièrement vos fichiers importants.
  • Utilisez une solution de sécurité fiable.
Conseils