Kaspersky Labは、オランダ国家ハイテク犯罪ユニット(NHTCU)の捜査に調査・研究の面で協力し、容疑者の特定と発見に貢献しました。また、両者は共同でこのランサムウェアを除去して暗号化されたファイルを復旧するための、復号鍵と復号ツールを提供するWebサイトを公開しています。CoinVaultの被害に遭ったユーザーは、これを利用することでサイバー犯罪者に金銭を支払うことなくファイルを復旧できる可能性があります。
オランダ警察は2015年9月14日、ランサムウェア「CoinVault」を用いたサイバー攻撃への関与の疑いで、18歳と22歳のオランダ人男性2名を逮捕しました。CoinVaultは2014年5月から2015年にかけて、これまでに20か国以上のユーザーを攻撃してきました。Kaspersky Labはオランダ国家ハイテク犯罪ユニット(NHTCU)の捜査に調査・研究の面で協力し、容疑者の特定と発見に貢献しました。本捜査にはスペインのPanda Security社もマルウェアサンプルの提供を通した協力をしています。
CoinVaultを操るサイバー犯罪者は、オランダ、ドイツ、米国、フランス、英国を主とする全世界の何万台ものコンピューターを標的とし、マルウェアに感染したWindows端末は少なくとも1,500台にのぼりました。感染した端末のファイルは不正に暗号化され、復号化と引き替えにBitcoinでの支払いが要求されていました。
このサイバー犯罪者はマルウェアを何度か改変し、次々に被害を拡大していました。Kaspersky Labが最初のサンプルを発見し、2014年11月にこのマルウェアに関する初のレポートを発表した後はしばらく活動を停止していましたが、2015年4月には新たなサンプルが見つかりました。同月、Kaspersky LabとNHTCUはこのランサムウェアを除去してファイルを復旧するための、復号鍵と復号ツールを提供するWebサイトnoransom.kaspersky.comを公開しています。CoinVaultの被害に遭ったユーザーは、このWebサイトを利用することでサイバー犯罪者に金銭を支払うことなくファイルを復旧できる可能性があります。
その後、Kaspersky LabがPanda Security社から提供された別のマルウェアサンプルを調査した結果、CoinVault関連のものであることが判明し、関連するすべてのマルウェアのサンプルを解析した結果をオランダ警察に報告しました。
オランダ警察のトーマス・アリン(Thomas Aling)氏は次のようにコメントしています。「オランダ警察は民間企業と積極的に協力しています。今回の捜査でKaspersky Labは重要な役割を果たし、それがCoinVaultを用いた攻撃者の特定と発見につながりました」
また、調査・研究を担当したKaspersky Labセキュリティリサーチャー、ジョーント・ファン・デア・ウィール(Jornt van der Wiel)は次のように述べています。「2015年4月、実際に感染被害が発生した新たなサンプルを発見しました。興味深いことに、そのサンプルでは非常に正確なオランダ語がバイナリの至るところに使われていました。オランダ語は間違えずに書くことが比較的難しい言語であるため、調査の開始当初からマルウェアの作成にオランダ語の話者が関与した可能性が指摘されていました。後に、この推測が事実であったことが判明します。CoinVaultとの戦いにおける勝利は、警察機関と民間企業による協力の成果であり、容疑者2名の逮捕という素晴らしい結果に繋がりました」
オランダ警察とKaspersky Labは、コンピューターのマルウェア感染を防ぐため、ソフトウェアとアンチウイルスプログラムを常に最新の状態にするよう推奨しています。また、重要なファイルはインターネットに接続されていないデバイスに定期的にバックアップをとる必要があります。また、サイバー犯罪者に対しては一切金銭を支払うべきではありません。こうした利益が犯罪活動を続ける動機となる上、支払ってもファイルを復元できる保証はないからです。
CoinVaultの詳細については、Securelist.comをご覧ください。
https://securelist.com/blog/research/72187/coinvault-are-we-reaching-the-end-of-the-nightmare/