{"id":17298,"date":"2018-07-19T10:22:05","date_gmt":"2018-07-19T08:22:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17298"},"modified":"2018-12-14T10:33:27","modified_gmt":"2018-12-14T08:33:27","slug":"coinvault-in-court","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/coinvault-in-court\/17298\/","title":{"rendered":"CoinVault: Auf frischer Tat ertappt"},"content":{"rendered":"

Bereits im Jahr 2015 half Kaspersky Lab der niederl\u00e4ndischen Cyberpolizei<\/a> dabei, die Entwickler der Ransomware CoinVault aufzusp\u00fcren. Der Decryptor, den wir damals f\u00fcr CoinVault entwickelt haben, hat unser NoRansom-Portal<\/a>, auf dem wir regelm\u00e4\u00dfig Tools zum Entsperren verschl\u00fcsselter Dateien hochladen, ma<\/span>\u00dfgeblich inspiriert<\/span>. Obwohl die Entwickler von CoinVault bereits vor einiger Zeit geschnappt wurden, fand erst k\u00fcrzlich die erste Gerichtsverhandlung statt, an der unser Experte Jornt van der Wiel teilnahm<\/a>.<\/span>\"\"<\/a><\/p>\n

CoinVault lief in den Jahren 2014 und 2015 in Dutzenden von L\u00e4ndern weltweit regelrecht Amok. Unsere Experten sch\u00e4tzen die Zahl der Opfer auf mehr als 10.000. Hinter den Angriffen steckten zwei niederl\u00e4ndische Br\u00fcder im Alter von 21 und 25 Jahren, die den Trojaner zuerst entwickelten und dann verbreiteten. Jedes Opfer erhielt eine L\u00f6segeldforderung in H\u00f6he von einem Bitcoin, der zur damaligen Zeit rund 200 Euro wert war. Die Br\u00fcder konnten auf diese Weise rund 20.000 Euro erbeuten.<\/span><\/p>\n

In den Niederlanden m\u00fcssen die Entwickler der #Ransomware #CoinVault dank unserer Zusammenarbeit mit der holl\u00e4ndischen Polizei vor Gericht.<\/p>Tweet<\/a><\/blockquote>\n

CoinVault war seiner Zeit um einiges voraus. Zus\u00e4tzlich zur Verschl\u00fcsselung besa\u00df der Trojaner Funktionen, die wir noch heute in Ransomware-Trojanern beobachten k\u00f6nnen. So hatten die Opfer beispielsweise die M\u00f6glichkeit eine beliebige Datei kostenlos zu entschl\u00fcsseln. Im Endeffekt handelte es sich hierbei aber nicht um gro\u00dfz\u00fcgige N\u00e4chstenliebe, sondern um eine ausgekl\u00fcgelte Masche der Kriminellen. Denn nachdem Ransomware-Opfer erst einmal erkannt haben, dass sie nur einen Klick davon entfernt sind, ihre lebenswichtigen Daten wiederherzustellen, wird die Versuchung, zu zahlen, um einiges gr\u00f6\u00dfer. Auch der On-Screen-Timer war einer der psychologischen Teaser von CoinVault, der unaufhaltsam eine h\u00f6here L\u00f6segeldsumme forderte.<\/p>\n

Doppeltes Lottchen<\/h2>\n

Wir haben CoinVault Ende 2014 unter die Lupe genommen und die Struktur der Ransomware\u00a0detailliert beschrieben<\/a>. Um sich vor Sicherheitsl\u00f6sungen zu verbergen und ihre Analyse zu verhindern, konnte die Ransomware beispielsweise problemlos feststellen, ob sie in einer Sandbox ausgef\u00fchrt oder ob ihr Code stark verschleiert wurde.<\/span><\/p>\n

Trotzdem gelang es unseren Experten, den Quellcode ausfindig zu machen, der einige Kommentare in niederl\u00e4ndischer Sprache enthielt, die letztlich zur Verhaftung der Kriminellen f\u00fchrten.<\/p>\n

Nachdem wir alle Informationen an die niederl\u00e4ndische Polizei \u00fcbergeben hatten, dauerte es nur wenige Monate bis \u00fcber die erfolgreiche Festnahme<\/a> der beiden Br\u00fcder berichtet wurde. Dank unserer Zusammenarbeit mit der niederl\u00e4ndischen Polizei gelang es uns, die Schl\u00fcssel des C&C-Servers ausfindig zu machen und ein Entschl\u00fcsselungstool<\/a> f\u00fcr CoinVault zu entwickeln.<\/span><\/p>\n

Am Ende siegt die Gerechtigkeit<\/h3>\n

Die Polizei sammelte fast 1.300 Aussagen von Personen, die der Ransomware zum Opfer gefallen waren. Einige von ihnen erschienen pers\u00f6nlich vor Gericht, um eine Entsch\u00e4digung einzufordern. Einem der Opfer wurde durch die L\u00f6segeldzahlung der geplante Urlaub ruiniert. Der Schaden wurde auf rund 5.000 Euro gesch\u00e4tzt.<\/span><\/p>\n

Ein weiteres Opfer verlangte die R\u00fcckzahlung des L\u00f6segelds in Bitcoin. Seit dem Angriff ist der Wechselkurs der Kryptow\u00e4hrung fast um das Drei\u00dfigfache gestiegen. Sollte das Gericht dieser Forderung also nachkommen, w\u00e4re es das erste Mal, dass eine gesch\u00e4digte Partei Geld durch einen Ransomware-Angriff verdient.<\/p>\n

Bei der j\u00fcngsten Anh\u00f6rung forderten die Staatsanw\u00e4lte eine Bestrafung in Form einer dreimonatigen Haftstrafe, gefolgt von einer neunmonatigen Bew\u00e4hrungsstrafe und 240 Stunden gemeinn\u00fctziger Arbeit. Die Verteidigung hingegen bat das Gericht darum, von einer Haftstrafe abzusehen, da sich die Angeklagten bei den Ermittlungen \u00e4u\u00dferst kooperativ gezeigt h\u00e4tten. Dar\u00fcber hinaus sei einer der Br\u00fcder in seinem derzeitigen Job unersetzlich und der andere bef\u00e4nde sich momentan mitten im Studium. Das Urteil wird in der n\u00e4chsten Anh\u00f6rung am 26. Juli verk\u00fcndet.<\/p>\n

<\/div>\n

Kriminelle werden strafrechtlich verfolgt<\/h3>\n

Das Gerichtsverfahren der CoinVault-Entwickler ist der beste Beweis daf\u00fcr, dass selbst scheinbar anonyme Cyberkriminelle einer Bestrafung nicht entkommen k\u00f6nnen. Wenn Sie allerdings keine Zeit und Nerven haben, drei lange Jahre auf einen gerechten Prozess zu warten, sollten Sie sich bereits im Voraus sch\u00fctzen und folgende Tipps immer im Hinterkopf behalten:<\/span><\/p>\n