Từ tháng 4/2015, ứng dụng giải mã do các chuyên gia bảo mật tại Kaspersky Lab phát triển đã có tổng cộng 14.755 mã khóa, giúp các nạn nhân lấy lại tập tin của mình. Văn phòng Công tố Quốc Gia Hà Lan thu được mã khóa từ máy chủ C&C của CoinVault. Vào tháng 9, cảnh sát Hà Lan bắt giữ 2 người đàn ông liên quan đến các cuộc tấn công bằng mã độc trên. Việc bắt giữ này cùng với số lượng mã khóa còn lại được thu hồi từ máy chủ đã khép lại hồ sơ về các cuộc tấn công của CoinVault.

CoinVault đã lây nhiễm hàng chục ngàn máy tính trên toàn thế giới. Tổng số nạn nhân là 108 quốc gia, phần lớn tập trung tại Hà Lan, Đức, Hoa Kì, Pháp và Anh. Những tên tội phạm mạng này đã khóa được ít nhất 1.500 máy tính dùng hệ điều hành Windows, đòi người dùng trả bitocin để giải mã tập tin.

Kaspersky Lab phát hiện phiên bản đầu tiên của CoinVault vào tháng 5/2015, sau đó đưa ra bản phân tích đầy đủ tất cả mẫu phần mềm độc hại, góp phần vào cuộc điều tra do Đội cảnh sát chống tội phạm công nghệ cao Hà Lan (NHTCU) và Văn phòng Công tố Quốc Gia Hà Lan tiến hành. Cuộc điều tra đã thu được cơ sở dữ liệu từ máy chủ C&C của CoinVault. Những máy chủ này chứa vector khởi tạo (IVs), mã khóa và ví bitcoin, giúp Kaspersky Lab và NHTCU lập ra một kho lưu trữ đặc biệt chứa mã khóa: noransom.kaspersky.com.

Jornt van der Wiel, nhà nghiên cứu bảo mật thuộc Nhóm nghiên cứu và phân tích toàn cầu GReAT, Kaspersky Lab chia sẻ: “Nhờ sự hợp tác của Cảnh sát Hà Lan, Kaspersky Lab và Panda Security, câu chuyện về CoinVault đang dần đi đến hồi kết: nạn nhân đã lấy lại được tập tin của mình và tội phạm mạng cũng đã bị bắt. Cuộc điều tra CoinVault đặc biệt ở chỗ: chúng tôi đã có thể lấy lại được tất cả các mã khóa. Nhờ công việc hết sức khó khăn này, chúng tôi đã có thể phá vỡ toàn bộ hệ thống hoạt động của nhóm tội phạm mạng”.



Bình luận

  • TTCN (0)