CoinVault: Auf frischer Tat ertappt

19 Jul 2018

Bereits im Jahr 2015 half Kaspersky Lab der niederländischen Cyberpolizei dabei, die Entwickler der Ransomware CoinVault aufzuspüren. Der Decryptor, den wir damals für CoinVault entwickelt haben, hat unser NoRansom-Portal, auf dem wir regelmäßig Tools zum Entsperren verschlüsselter Dateien hochladen, maßgeblich inspiriert. Obwohl die Entwickler von CoinVault bereits vor einiger Zeit geschnappt wurden, fand erst kürzlich die erste Gerichtsverhandlung statt, an der unser Experte Jornt van der Wiel teilnahm.

CoinVault lief in den Jahren 2014 und 2015 in Dutzenden von Ländern weltweit regelrecht Amok. Unsere Experten schätzen die Zahl der Opfer auf mehr als 10.000. Hinter den Angriffen steckten zwei niederländische Brüder im Alter von 21 und 25 Jahren, die den Trojaner zuerst entwickelten und dann verbreiteten. Jedes Opfer erhielt eine Lösegeldforderung in Höhe von einem Bitcoin, der zur damaligen Zeit rund 200 Euro wert war. Die Brüder konnten auf diese Weise rund 20.000 Euro erbeuten.

CoinVault war seiner Zeit um einiges voraus. Zusätzlich zur Verschlüsselung besaß der Trojaner Funktionen, die wir noch heute in Ransomware-Trojanern beobachten können. So hatten die Opfer beispielsweise die Möglichkeit eine beliebige Datei kostenlos zu entschlüsseln. Im Endeffekt handelte es sich hierbei aber nicht um großzügige Nächstenliebe, sondern um eine ausgeklügelte Masche der Kriminellen. Denn nachdem Ransomware-Opfer erst einmal erkannt haben, dass sie nur einen Klick davon entfernt sind, ihre lebenswichtigen Daten wiederherzustellen, wird die Versuchung, zu zahlen, um einiges größer. Auch der On-Screen-Timer war einer der psychologischen Teaser von CoinVault, der unaufhaltsam eine höhere Lösegeldsumme forderte.

Doppeltes Lottchen

Wir haben CoinVault Ende 2014 unter die Lupe genommen und die Struktur der Ransomware detailliert beschrieben. Um sich vor Sicherheitslösungen zu verbergen und ihre Analyse zu verhindern, konnte die Ransomware beispielsweise problemlos feststellen, ob sie in einer Sandbox ausgeführt oder ob ihr Code stark verschleiert wurde.

Trotzdem gelang es unseren Experten, den Quellcode ausfindig zu machen, der einige Kommentare in niederländischer Sprache enthielt, die letztlich zur Verhaftung der Kriminellen führten.

Nachdem wir alle Informationen an die niederländische Polizei übergeben hatten, dauerte es nur wenige Monate bis über die erfolgreiche Festnahme der beiden Brüder berichtet wurde. Dank unserer Zusammenarbeit mit der niederländischen Polizei gelang es uns, die Schlüssel des C&C-Servers ausfindig zu machen und ein Entschlüsselungstool für CoinVault zu entwickeln.

Am Ende siegt die Gerechtigkeit

Die Polizei sammelte fast 1.300 Aussagen von Personen, die der Ransomware zum Opfer gefallen waren. Einige von ihnen erschienen persönlich vor Gericht, um eine Entschädigung einzufordern. Einem der Opfer wurde durch die Lösegeldzahlung der geplante Urlaub ruiniert. Der Schaden wurde auf rund 5.000 Euro geschätzt.

Ein weiteres Opfer verlangte die Rückzahlung des Lösegelds in Bitcoin. Seit dem Angriff ist der Wechselkurs der Kryptowährung fast um das Dreißigfache gestiegen. Sollte das Gericht dieser Forderung also nachkommen, wäre es das erste Mal, dass eine geschädigte Partei Geld durch einen Ransomware-Angriff verdient.

Bei der jüngsten Anhörung forderten die Staatsanwälte eine Bestrafung in Form einer dreimonatigen Haftstrafe, gefolgt von einer neunmonatigen Bewährungsstrafe und 240 Stunden gemeinnütziger Arbeit. Die Verteidigung hingegen bat das Gericht darum, von einer Haftstrafe abzusehen, da sich die Angeklagten bei den Ermittlungen äußerst kooperativ gezeigt hätten. Darüber hinaus sei einer der Brüder in seinem derzeitigen Job unersetzlich und der andere befände sich momentan mitten im Studium. Das Urteil wird in der nächsten Anhörung am 26. Juli verkündet.

Kriminelle werden strafrechtlich verfolgt

Das Gerichtsverfahren der CoinVault-Entwickler ist der beste Beweis dafür, dass selbst scheinbar anonyme Cyberkriminelle einer Bestrafung nicht entkommen können. Wenn Sie allerdings keine Zeit und Nerven haben, drei lange Jahre auf einen gerechten Prozess zu warten, sollten Sie sich bereits im Voraus schützen und folgende Tipps immer im Hinterkopf behalten:

    • Klicken Sie nicht auf verdächtige Links und öffnen Sie keine verdächtigen E-Mail-Anhänge.
    • Machen Sie regelmäßige Backups wichtiger Dateien.
    • Verwenden Sie eine zuverlässige Sicherheitslösung.