Phá tan ổ "mã độc tống tiền" CoinVault và Bitcryptor

Sự kiện: Kaspersky

2 tội phạm mạng và hàng chục ngàn mã khóa đã được phát hiện trong các vụ mã hóa dữ liệu đòi tiền chuộc.

Kaspersky Lab phát đi thông báo cho biết, hãng vừa bổ sung 14.031 mã khóa giải mã vào kho lưu trữ noransom.kaspersky.com, giúp tất cả những người dùng là nạn nhân của mã độc tống tiền CoinVault và Bitcryptor lấy lại dữ liệu bị mã hóa mà không cần phải trả bất kỳ khoản tiền ảo Bitcoin nào cho bọn tội phạm mạng.

Theo Kaspersky Lab, từ tháng 4.2015, ứng dụng giải mã do các chuyên gia bảo mật tại Kaspersky Lab phát triển đã có tổng cộng 14.755 mã khóa, giúp các nạn nhân lấy lại tập tin của mình. Văn phòng Công tố Quốc gia Hà Lan đã thu được mã khóa từ máy chủ C&C của CoinVault.

Phá tan ổ "mã độc tống tiền" CoinVault và Bitcryptor - 1

Vào tháng 9 năm nay, cảnh sát Hà Lan cũng đã bắt giữ 2 người đàn ông liên quan đến các cuộc tấn công bằng mã độc nói trên. Việc bắt giữ này cùng với số lượng mã khóa còn lại được thu hồi từ máy chủ đã khép lại hồ sơ về các cuộc tấn công của CoinVault.

CoinVault đã lây nhiễm tới hàng chục ngàn máy tính trên toàn thế giới. Tổng số quốc gia bị ảnh hưởng là 108 quốc gia, phần lớn tập trung tại Hà Lan, Đức, Hoa Kỳ, Pháp và Anh. Những tên tội phạm mạng này đã khóa được ít nhất 1.500 máy tính dùng hệ điều hành Windows, đòi người dùng trả Bitocin để giải mã tập tin.

Kaspersky Lab phát hiện phiên bản đầu tiên của CoinVault vào tháng 5.2015. Sau đó đưa ra bản phân tích đầy đủ tất cả mẫu phần mềm độc hại, góp phần vào cuộc điều tra do Đội cảnh sát chống tội phạm công nghệ cao Hà Lan (NHTCU) và Văn phòng Công tố Quốc gia Hà Lan tiến hành. Cuộc điều tra đã thu được cơ sở dữ liệu từ máy chủ C&C của CoinVault. Những máy chủ này chứa vector khởi tạo (IVs), mã khóa và ví Bitcoin, giúp Kaspersky Lab và NHTCU lập ra một kho lưu trữ đặc biệt chứa mã khóa: noransom.kaspersky.com. 

Jornt van der Wiel, nhà nghiên cứu bảo mật thuộc Nhóm nghiên cứu và phân tích toàn cầu GReAT, Kaspersky Lab chia sẻ: “Nhờ sự hợp tác của Cảnh sát Hà Lan, Kaspersky Lab và Panda Security, câu chuyện về CoinVault đang dần đi đến hồi kết. Nạn nhân đã lấy lại được tập tin của mình và tội phạm mạng cũng đã bị bắt. Cuộc điều tra CoinVault đặc biệt ở chỗ: Chúng tôi đã có thể lấy lại được tất cả các mã khóa. Nhờ công việc hết sức khó khăn này, chúng tôi đã có thể phá vỡ toàn bộ hệ thống hoạt động của nhóm tội phạm mạng”.

Chia sẻ
Gửi góp ý
Lưu bài Bỏ lưu bài
Theo Ngọc Phạm (Theo Kaspersky) ([Tên nguồn])
Kaspersky Xem thêm
Báo lỗi nội dung
GÓP Ý GIAO DIỆN