En 2015, Kaspersky Lab ayudó al departamento de ciberseguridad de la policía holandesa a atrapar a los creadores de uno de los primeros ransomware: CoinVault. El descifrador que desarrollamos para ello inspiró el portal NoRansom, donde subimos herramientas para desbloquear archivos después de varios ataques de cifrado. Aunque se capturó a los creadores de CoinVault hace tiempo, la primera audiencia tuvo lugar recientemente y nuestro experto Jornt van der Wiel ha estado allí.
CoinVault se expandió por docenas de países de todo el mundo en 2014 y 2015 y nuestros expertos estiman el número de víctimas en más de 10.000. Los encargados de desarrollar y distribuir el troyano fueron dos hermanos holandeses, de 21 y 25 años. A cada víctima se le solicitó un rescate de 1 bitcoin, que por aquel entonces equivalía a 200 euros, y los hermanos llegaron a recoger unos 20.000 euros.
CoinVault fue un adelantado a su tiempo. Además del cifrado de archivos, tenía características que seguimos viendo en los troyanos ransomware actuales. Por ejemplo, la víctima podía descifrar un archivo de forma gratuita, lo cual es un aliciente psicológico para que pague, ya que ve que está a un solo clic de recuperar sus datos, al igual que el temporizador de la pantalla que cuenta el tiempo que queda para que aumente la cantidad del rescate.
Los hermanos holandeses
Ya analizamos CoinVault y describimos su estructura en profundidad a finales del 2014. Los autores del malware trabajaron duro para esconderlo de las soluciones de seguridad y dificultar su análisis. El ransomware puede determinar, por ejemplo, si se ejecuta en un sandbox y si su código está muy ofuscado.
Sin embargo, nuestros expertos pudieron conseguir el código fuente y encontraron una pista que condujo al arresto de los delincuentes: había comentarios en alemán, por lo que era muy probable que el malware procediera de Holanda.
Pasamos esa información a la ciberpolicía holandesa y en pocos meses informaron de que habían capturado a los delincuentes. Gracias a nuestra cooperación con la policía, conseguimos las claves del servidor de comando y control y desarrollamos una herramienta para descifrar datos.
La justicia está valorando las pruebas
La policía recopiló 1.300 declaraciones de víctimas de ransomware. Algunos comparecieron ante el tribunal para solicitar una compensación. Una víctima, por ejemplo, se quedó sin vacaciones por culpa del ransomware. Estimaron el daño en 5.000 euros y afirmaron que esta suma le impediría pagar otro viaje.
Otra víctima solicitó que le devolvieran la cantidad del rescate en la misma moneda, bitcoin. Desde el ataque, la tasa de cambio de la criptomoneda aumentó 30 veces su valor, por lo que, si el tribunal aceptara esta reclamación, sería la primera vez que la parte perjudicada ganara dinero de un ataque ransomware.
En una audiencia reciente, los abogados de la acusación solicitaron un castigo de 3 meses de prisión, seguidos de nueve meses de libertad condicional y 240 horas de servicios comunitarios. La defensa pidió al tribunal que no metiera en la cárcel a los hermanos, ya que estos habían cooperado en la investigación, además, uno es irreemplazable en su trabajo actual y el otro está en la facultad. La sentencia tendrá lugar en la próxima vista, el 26 de julio.
Los intrusos van a ser procesados
Siempre decimos que ceder ante los criminales puede motivarlos. El juicio de los creadores de CoinVault muestra que ni siquiera los ciberdelincuentes anónimos pueden escapar del castigo. Pero en vez de esperar tres años a la justicia, es mejor que te protejas y recuerdes nuestros consejos básicos:
- No hagas clic en enlaces sospechosos y no abras archivos adjuntos en correos electrónicos sospechosos.
- Realiza copias de seguridad de archivos importantes periódicamente.
- Utiliza una solución de seguridad de confianza.