{"id":10743,"date":"2018-07-23T09:03:48","date_gmt":"2018-07-23T09:03:48","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10743"},"modified":"2019-11-22T08:57:39","modified_gmt":"2019-11-22T08:57:39","slug":"coinvault-in-court","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/coinvault-in-court\/10743\/","title":{"rendered":"CoinVault : pris en flagrant d\u00e9lit"},"content":{"rendered":"

En 2015, Kaspersky Lab a aid\u00e9 la police n\u00e9erlandaise qui lutte contre la cybercriminalit\u00e9<\/a> a interpell\u00e9 les cr\u00e9ateurs d\u2019un des tous premiers ransomwares, CoinVault. L\u2019outil de d\u00e9chiffrement que nous avons d\u00e9velopp\u00e9 pour ce ransomware nous a encourag\u00e9 \u00e0 cr\u00e9er le portail NoRansom<\/a>, o\u00f9 nous mettons en ligne des outils qui vous permettent de d\u00e9bloquer vos fichiers apr\u00e8s avoir subi diverses attaques de chiffrement. M\u00eame si les cr\u00e9ateurs de CoinVault ont \u00e9t\u00e9 interpell\u00e9s il y a un certain temps, la premi\u00e8re audience a eu lieu r\u00e9cemment, et notre expert Jornt van der Wiel \u00e9tait pr\u00e9sent<\/a>.<\/p>\n

CoinVault s\u2019est d\u00e9cha\u00een\u00e9 en 2014 et 2015, et a affect\u00e9 des dizaines de pays dans le monde entier. Selon nos experts, plus de 10 000 personnes en ont \u00e9t\u00e9 victimes. Les personnes \u00e0 l\u2019origine de ces attaques sont deux fr\u00e8res n\u00e9erlandais, \u00e2g\u00e9s de 21 et 25 ans, qui ont d\u00e9velopp\u00e9 et diffus\u00e9 le cheval de Troie. Chaque victime recevait une demande de ran\u00e7on qui s\u2019\u00e9levait \u00e0 1 bitcoin, soit environ 200 \u20ac \u00e0 l\u2019\u00e9poque. Gr\u00e2ce \u00e0 cette attaque, les deux fr\u00e8res ont d\u00e9rob\u00e9 pr\u00e8s de 20 000 \u20ac.<\/p>\n

CoinVault \u00e9tait en avance sur son temps En plus du chiffrement, il disposait de caract\u00e9ristiques que nous retrouvons dans les ransomwares et chevaux de Troie actuels. Par exemple, la victime pouvait d\u00e9chiffrer gratuitement un seul fichier. Mentalement, cette technique joue en faveur des cybercriminels\u00a0: lorsque les victimes se rendent compte qu\u2019elles ne sont qu\u2019\u00e0 un clic de pouvoir r\u00e9cup\u00e9rer leurs donn\u00e9es si importantes, elles sont encore plus tent\u00e9es de payer la ran\u00e7on. Le compte \u00e0 rebours affich\u00e9 sur l\u2019\u00e9cran est une autre des m\u00e9thodes psychologiques utilis\u00e9es par CoinVault, puisqu\u2019il calcule inexorablement combien de temps il reste \u00e0 la victime avant que la somme de la ran\u00e7on augmente.<\/p>\n

Deux n\u00e9erlandais<\/strong><\/p>\n

Nous avons analys\u00e9 CoinVault et avons d\u00e9crit<\/a> sa structure en d\u00e9tails fin 2014. Les auteurs du malware se sont donn\u00e9s beaucoup de mal pour le dissimuler, \u00e9viter qu\u2019il soit d\u00e9tect\u00e9 par les solutions de s\u00e9curit\u00e9, et g\u00eaner leurs analyses. Par exemple, le ransomware peut d\u00e9terminer s\u2019il est ex\u00e9cut\u00e9 dans une sandbox<\/a>, et si son code est fortement offusqu\u00e9<\/a>.<\/p>\n

Cependant, nos experts ont pu obtenir le code source, et trouver un indice qui a finalement caus\u00e9 l\u2019interpellation des criminels. Le malware contenait certains commentaires en n\u00e9erlandais. Il \u00e9tait fort probable que le malware vienne des Pays-Bas.<\/p>\n

Nous avons partag\u00e9 ces informations avec la police n\u00e9erlandaise qui lutte contre la cybercriminalit\u00e9, qui apr\u00e8s quelques mois a communiqu\u00e9 avoir d\u00e9tenu avec succ\u00e8s<\/a> les cerveaux de cette attaque. Gr\u00e2ce \u00e0 notre coop\u00e9ration avec la police n\u00e9erlandaise, nous avons pu obtenir les cl\u00e9s du serveur C&C, et d\u00e9velopper un outil de d\u00e9chiffrement qui permet de r\u00e9cup\u00e9rer les donn\u00e9es<\/a>.<\/p>\n

La Justice \u00e9tudie les preuves<\/strong><\/p>\n

La police a recueilli les d\u00e9clarations de pr\u00e8s de 1 300 victimes de ce ransomware. Certaines se sont pr\u00e9sent\u00e9es en personne au tribunal pour exiger une indemnisation. Par exemple, le ransomware a g\u00e2ch\u00e9 les vacances d\u2019une des victimes. Elle a estim\u00e9 que les dommages s\u2019\u00e9levaient \u00e0 5 000 \u20ac, et a soutenu que cette somme lui permettrait de financer un autre voyage.<\/p>\n

Une autre victime a demand\u00e9 le remboursement du paiement de la ran\u00e7on dans la m\u00eame monnaie, en Bitcoin. Depuis l\u2019attaque, le taux de change de cette crypto-monnaie<\/a> a presque \u00e9t\u00e9 multipli\u00e9 par 30. Si le tribunal approuve cette demande, ce sera la premi\u00e8re fois que le plaignant gagne de l\u2019argent gr\u00e2ce \u00e0 l\u2019attaque d\u2019un ransomware.<\/p>\n

Lors d\u2019une r\u00e9cente audience, le procureur a demand\u00e9 que les coupables soient condamn\u00e9s \u00e0 trois mois de prison ferme, neuf mois de prison avec sursis, et 240 heures de travaux d\u2019int\u00e9r\u00eat g\u00e9n\u00e9ral. La d\u00e9fense a demand\u00e9 \u00e0 la Cour de ne pas mettre les deux fr\u00e8res derri\u00e8re les barreaux, en affirmant que les pr\u00e9venus avaient coop\u00e9r\u00e9 \u00e0 l\u2019enqu\u00eate, qu\u2019un \u00e9tait indispensable dans son emploi actuel, et que l\u2019autre allait \u00e0 l\u2019universit\u00e9. Le verdict sera prononc\u00e9 lors de la prochaine audience qui aura lieu le 26 juillet.<\/p>\n\n

Les intrus seront poursuivis<\/strong><\/p>\n

Nous avons toujours dit que c\u00e9der aux criminels ne fait que les encourager. Le proc\u00e8s des cr\u00e9ateurs de CoinVault montre que m\u00eame si les cybercriminels sont apparemment anonymes, ils ne peuvent pas \u00e9chapper \u00e0 leur ch\u00e2timent. Au lieu d\u2019attendre trois ans pour obtenir justice, il vaut mieux bien vous prot\u00e9ger en avance. N\u2019oubliez pas nos conseils de base\u00a0:<\/p>\n