- Anzeigen -


Sie sind hier: Home » Markt » Nachrichten

Identifizierung der mutmaßlichen Täter


Zusammenarbeit zwischen niederländischer Polizei und Kaspersky Lab führt zu Festnahme von Verdächtigen hinter den CoinVault-Ransomware-Attacken
Die für die Ransomware-Kampagne verantwortlichen Cyberkriminellen versuchten mehrmals den verwendeten Trojaner zu verändern, um immer neue Opfer anzuvisieren

(09.10.15) - Am Montag, den 14. September, verhaftete die niederländische Polizei zwei Männer (18 und 22 Jahre alt) aus Amersfoort, Niederlande, wegen des Verdachts der Beteiligung an den CoinVault-Ransomware-Attacken. Die im Mai 2014 begonnene Malware-Kampagne setzte sich in diesem Jahr fort und zielte auf Nutzer in mehr als 20 Ländern ab. Kaspersky Lab steuerte bei den Ermittlungen wichtige Untersuchungsarbeit bei, welche die National High Tech Crime Unit (NHTCU) der niederländischen Polizei bei der Identifizierung der mutmaßlichen Täter unterstützte. Die Experten von Panda Security wirkten ebenfalls bei den Ermittlungen mit, in dem sie auf mehrere Malware-Samples aufmerksam machten.

Die Cyberkriminellen hinter CoinVault versuchten weltweit zehntausende von Computern zu infizieren. Der Großteil der Opfer befand sich in den Niederlanden, Deutschland, den USA, Frankreich und dem Vereinigten Königreich. Den Cyberkriminellen gelang es, mindestens 1.500 Windows-basierte Rechner zu sperren, wobei sie Bitcoins von den Nutzern verlangten, um die Dateien zu entschlüsseln.

Die für die Ransomware-Kampagne verantwortlichen Cyberkriminellen versuchten mehrmals den verwendeten Trojaner zu verändern, um immer neue Opfer anzuvisieren. Der ursprüngliche Bericht von Kaspersky Lab wurde im November 2014 veröffentlicht, nachdem man auf das erste Malware-Sample aufmerksam wurde. Die Kampagne pausierte bis April 2015, als ein neues Sample entdeckt wurde. Im selben Monat starteten Kaspersky Lab und die National High Tech Crime Unit (NHTCU) der niederländischen Polizei die Webseite noransom.kaspersky.com, die neben einem Schritt-für-Schritt-Leitfaden auch eine Sammlung von entsprechenden Entschlüsselungscodes zur Verfügung stellte. Dies gab den Opfern von CoinVault die Gelegenheit, ihre Daten zurück zu gewinnen, ohne den Kriminellen etwas zu zahlen.

Anschließend wurde Kaspersky Lab von Panda Security kontaktiert, die Informationen über weitere Malware-Samples gefunden hatten. Die Untersuchung dieser Samples durch Kaspersky Lab ergab einen Bezug zu CoinVault. In der Folge wurde eine vollständige Analyse aller mit CoinVault assoziierten Malware-Samples durchgeführt und der niederländischen Polizei übergeben.

"Die niederländische Polizei arbeitet regelmäßig mit der Industrie zusammen. In dieser Ermittlung spielte Kaspersky Lab eine wesentliche Rolle bei der Identifizierung und Ortung der mutmaßlichen Coinvault-Angreifer. Es zeigt sich, dass man mehr Kriminelle erwischen kann, wenn man zusammenarbeitet.", sagt Thomas Aling von der niederländischen Polizei.

"Im April 2015 wurde ein neues Sample in freier Wildbahn entdeckt. Interessanterweise weist das Sample einwandfreie niederländische Sätze über die gesamte Programmdatei hinweg auf. Es ist sehr schwierig, auf Niederländisch zu schreiben, ohne einen Fehler zu machen. Wir vermuteten bei unseren Untersuchungen von Anfang an, dass eine niederländische Verbindung unter den angeblichen Malware-Autoren vorlag. Diese Vermutung stellte sich später als richtig heraus. Die erfolgreiche Bekämpfung von CoinVault war eine gemeinsame Anstrengung zwischen Strafverfolgungsbehörden und Privatunternehmen, die zu einem tollen Ergebnis führten: Der Festnahme von zwei Verdächtigen", sagt Jornt van der Wiel, Sicherheitsexperte bei Kaspersky Lab.

Um einen Rechner vor der Infizierung mit Malware zu schützen, empfehlen die niederländische Polizei und Kaspersky Lab den Nutzern, ihre Software sowie ihr Antivirus-Programm immer auf dem neuesten Stand zu halten. Darüber hinaus sollten Nutzer regelmäßig Sicherungen von wertvollen und/oder wichtigen Dateien auf externen, nicht permanent angeschlossenen, Datenträgern durchführen und die Sicherung auf einem Gerät ohne Internetverbindung speichern. Zu guter Letzt sollten Nutzer in solchen Fällen nie zahlen. Zahlungen motivieren Cyberkriminelle weiter zu machen und dies führt überdies nicht immer zur tatsächlichen Freigabe von Dateien. (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Nachrichten

  • Experten: IT-Sicherheit fehlt Strategie

    Experten vermissen eine klare Strategie Deutschlands im Bereich der IT-Sicherheit. Das ist ein Fazit aus einer öffentlichen Anhörung des Ausschusses für Inneres und Heimat. Grundlage der Anhörung waren drei Oppositionsanträge. Die FDP-Fraktion sprach sich in ihrem Antrag (19/7698) für einen Maßnahmenkatalog zur Stärkung der IT-Sicherheit aus, während die Linksfraktion (19/7705) das Bundesamt für Sicherheit in der Informationstechnologie (BSI) aus der Zuständigkeit des Bundesinnenministeriums lösen und in eine eigenständige Behörde umwandeln will. Die Fraktion Bündnis 90/Die Grünen (19/1328) fordert, die Regierung solle schnell ein IT-Sicherheitsgesetz vorlegen. In der Anhörung äußerten mehrere Experten, dass es ihrer Ansicht nach an einer klaren Strategie in Sachen IT-Sicherheit derzeit fehle. So sagte Sven Herpig von der Stiftung Neue Verantwortung, Deutschland sei in Sachen IT-Sicherheit derzeit "strategieunfähig". Zudem gebe es bisher keine belastbaren Daten zur Wirksamkeit von Maßnahmen der Vergangenheit - gleichzeitig finde Gesetzgebung ohne die Einbeziehung der Zivilgesellschaft statt.

  • Illegale Handelsplattform im Darknet

    Die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt teilen mit: Die Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) - und das Bundeskriminalamt (BKA) haben am 23. und 24. April 2019 einen 31-jährigen Tatverdächtigen aus Bad Vilbel, einen 29-jährigen Tatverdächtigen aus dem Landkreis Esslingen und einen 22-jährigen Tatverdächtigen aus Kleve festgenommen und ihre Wohnungen durchsucht. Die deutschen Staatsangehörigen sind dringend verdächtig, den ausschließlich über das sogenannte Darknet zugänglichen illegalen Online-Markplatz "Wall Street Market" gemeinsam und arbeitsteilig betrieben zu haben. Die Serverinfrastruktur der kriminellen Plattform wurde durch Beamte des Bundeskriminalamts sichergestellt.

  • BSI-Aussagen zu Hackerangriff

    Medienberichte über divergierende Aussagen des Präsidenten des BSI und des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf das Ausmaß des 'Hackerangriffs' auf Bundestagsabgeordnete und andere Personen" lautet der Titel einer Kleinen Anfrage der AfD-Fraktion (19/7997). Darin führt die Fraktion aus, dass nach einem Medienbericht vom 5. Januar 2019 das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aussagen seines Präsidenten Arne Schönbohm zum so genannten Hackerangriff korrigiert habe.

  • Genehmigungen im Bereich Cybersicherheit

    Die FDP-Fraktion möchte wissen, wie viele Anträge auf Ausfuhrgenehmigungen für Güter mit doppeltem Vewendungszweck aus dem Bereich Cyber-Sicherheit gestellt worden sind. In einer Kleinen Anfrage (19/7680) erkundigen sich die Abgeordneten nach entsprechenden Zahlen für die vergangenen zehn Jahre. Sie fragen auch nach Annahmen, Ablehnungen und offenen Anträgen. Bei Gütern mit doppeltem Verwendungszweck handelt es sich um Produkte, die sowohl zivil als auch militärisch genutzt werden können.

  • GandCrab-Ransomware wird regelmäßig angepasst

    Bitdefender, Europol und zahlreiche andere Strafverfolgungsbehörden bieten eine neue Version des kostenlosen Entschlüsselungs-Tools für Daten, die der Ransomware GandCrab zum Opfer gefallen sind. GandCrab ist bis dato eine der effektivsten Familien dateiverschlüsselnder Malware und das aktualisierte Tool kann nun auch Daten, die mit den neuesten Versionen von GandCrab verschlüsselt wurden wieder entschlüsseln. Das neue Tool ist ab sofort verfügbar und kann bei Bitdefender Labs und dem No-More-Ransom-Projekt kostenlos heruntergeladen werden.