CoinVault: i colpevoli a processo

19 Lug 2018

Era il 2015, quando Kaspersky Lab ha aiutato la polizia informatica olandese a catturare i creatori di CoinVault, uno dei primissimi ransomware in circolazione. Il decryptor che abbiamo sviluppato per questo ransomware è servito da ispirazione per il portale NoRansom, dove carichiamo i tool per sbloccare i file colpiti da attacchi di questo tipo. Sebbene i creatori di CoinVault siano stati acciuffati già da parecchio tempo, la prima udienza in tribunale ha avuto luogo solo di recente, alla quale vi ha assistito il nostro esperto Jornt van der Wiel.

CoinVault ha fatto razzie nell’anno 2014-2015 in decine di paesi in tutto il mondo. I nostri esperti hanno calcolato che sarebbero state ben 10 mila le vittime di questo ransomware. Dietro gli attacchi c’erano due fratelli olandesi di 21 e 25 anni che hanno sviluppato e diffuso il Trojan. Le vittime ricevevano una richiesta di riscatto di 1 bitcoin, che ai tempi valeva circa 200 euro. La copia di malfattori è riuscita a racimolare circa 20 mila euro.

CoinVault era un vero e proprio malware pionieristico. Oltre a cifrare i dati, possedeva caratteristiche ancora presenti nei Trojan di oggi. Ad esempio, alla vittima era concesso di decifrare gratis un solo file, un trucchetto che, dal punto di vista psicologico, giocava a favore dei cybercriminali: in questo modo la vittima si rendeva conto di essere a un solo click dal riappropriarsi di tutta la sua vita digitale, ed era quindi più propensa a cedere al ricatto. Il timer sullo schermo era un’altra esca piscologica di CoinVault, e più il tempo passava più il riscatto da pagare aumentava.

L’accoppiata olandese

A fine 2014 abbiamo analizzato CoinVault e descritto le sue caratteristiche. Gli autori del malware si sono impegnati molto per nascondersi agli occhi delle soluzioni di sicurezza e per depistarle. Il ransomware poteva determinare, ad esempio, se fosse lanciato in una sandbox e, in tal caso, nascondeva il suo codice.

Ciononostante, i nostri esperti sono stati in grado di risalire al codice sorgente e di trovare una pista per arrivare fino ai suoi creatori per poterli arrestare: il codice conteneva alcuni commenti in olandese (da ciò si è dedotto che il malware potesse provenire da questo paese).

Abbiamo informato la polizia olandese di questa importante scoperta e in pochi mesi sono riusciti a catturare i due cybercriminali. Grazie alla collaborazione con la polizia olandese, siamo riusciti a ottenere le chiavi del server Command&Control e a creare un tool per decifrare i dati.

La giustizia esamina le prove

La polizia ha raccolto circa 1.300 dichiarazioni delle vittime del ransomware, anzi alcune si sono dichiarate parte civile per richiedere un risarcimento. Una vittima ad esempio, non è potuta andare in vacanza per colpa del ransomware, un danno di circa 5 mila euro che, secondo i suoi calcoli, se risarcito gli permetterebbe di fare un altro viaggio.

Un’altra vittima ha chiesto di essere risarcita in bitcoin; sappiamo che, dall’anno dell’attacco fino a oggi, il tasso di cambio di questa crytpomoneta si è moltiplicato di quasi trenta volte. Se la corte dovesse accettare questa richiesta, sarebbe la prima volta che una parte lesa riesce a guadagnare un bel gruzzolo da un attacco ransomware.

Nella recente udienza, l’accusa ha chiesto una pena di tre mesi di prigione, seguiti da nove mesi di condizionale e da 240 ore di servizi sociali. La difesa ha chiesto alla corte di non mandare i due fratelli in carcere, allegando l’attenuante di aver collaborato durante le indagini. Inoltre, uno dei due fratelli sarebbe insostituibile nel posto di lavoro che occupa attualmente e l’altro va all’università. Il verdetto sarà emesso il prossimo 26 luglio.

I colpevoli saranno puniti

Abbiamo sempre detto che gettare la spugna incoraggia solo i cybercriminali ad approfittarsene. Il processo ai creatori di CoinVault dimostra che anche dei criminali apparentemente anonimi pagano per i propri errori. Tuttavia, invece di aspettare 3 anni per fare giustizia, sarebbe meglio evitare che il crimine si verifichi Per questo, vi raccomandiamo di seguire i nostri consigli standard:

  • Non cliccate su link sospetti e non aprite allegati e-mail di dubbia provenienza;
  • Effettuate regolarmente il backup dei file più importanti;
  • Utilizzate sempre una soluzione di sicurezza affidabile.