{"id":13176,"date":"2018-07-19T10:16:53","date_gmt":"2018-07-19T16:16:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13176"},"modified":"2018-12-14T02:33:28","modified_gmt":"2018-12-14T08:33:28","slug":"coinvault-in-court","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/coinvault-in-court\/13176\/","title":{"rendered":"CoinVault: los culpables a juicio"},"content":{"rendered":"<p>En 2015, Kaspersky Lab <a href=\"https:\/\/www.kaspersky.es\/blog\/coinvault-ransomware-removal-instruction\/5789\/\" target=\"_blank\" rel=\"noopener\">ayud\u00f3 al departamento de ciberseguridad de la polic\u00eda holandesa<\/a> a atrapar a los creadores de uno de los primeros <i>ransomware:<\/i>\u00a0CoinVault. El descifrador que desarrollamos para ello inspir\u00f3 el <a href=\"https:\/\/noransom.kaspersky.com\/?_ga=2.71653459.1790457313.1531722679-171254224.1518695379\" target=\"_blank\" rel=\"noopener\">portal NoRansom<\/a>, donde subimos herramientas para desbloquear archivos despu\u00e9s de varios ataques de cifrado. Aunque se captur\u00f3 a los creadores de CoinVault hace tiempo, la primera audiencia tuvo lugar recientemente y <a href=\"https:\/\/securelist.com\/coinvault-the-court-case\/86503\/\" target=\"_blank\" rel=\"noopener\">nuestro experto Jornt van der Wiel ha estado all\u00ed<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"alignleft size-full wp-image-16536\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/07\/20123714\/coinvault-in-court-featured-1024x672.jpg\" alt=\"\" width=\"1024\" height=\"672\"><\/p>\n<p>CoinVault se expandi\u00f3 por docenas de pa\u00edses de todo el mundo en 2014 y 2015 y nuestros expertos estiman el n\u00famero de v\u00edctimas en m\u00e1s de 10.000. Los encargados de desarrollar y distribuir el troyano fueron dos hermanos holandeses, de 21 y 25 a\u00f1os. A cada v\u00edctima se le solicit\u00f3 un rescate de 1 bitcoin, que por aquel entonces equival\u00eda a 200 euros, y los hermanos llegaron a recoger unos 20,000 euros.<\/p>\n<p>CoinVault fue un adelantado a su tiempo. Adem\u00e1s del cifrado de archivos, ten\u00eda caracter\u00edsticas que seguimos viendo en los troyanos <i>ransomware<\/i> actuales. Por ejemplo, la v\u00edctima pod\u00eda descifrar un archivo de forma gratuita, lo cual es un aliciente psicol\u00f3gico para que pague, ya que ve que est\u00e1 a un solo clic de recuperar sus datos, al igual que el temporizador de la pantalla que cuenta el tiempo que queda para que aumente la cantidad del rescate.<\/p>\n<h2>Los hermanos holandeses<\/h2>\n<p>Ya analizamos CoinVault y <a href=\"https:\/\/securelist.lat\/pesadilla-en-la-calle-malware\/67477\/\" target=\"_blank\" rel=\"noopener\">describimos<\/a> su estructura en profundidad a finales del 2014. Los autores del <i>malware<\/i> trabajaron duro para esconderlo de las soluciones de seguridad y dificultar su an\u00e1lisis. El <i>ransomware<\/i> puede determinar, por ejemplo, si se ejecuta en un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/sandbox\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\"><i>sandbox<\/i><\/a> y si su c\u00f3digo est\u00e1 muy <a href=\"https:\/\/securelist.com\/threats\/obfuscation-glossary\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">ofuscado<\/a>.<\/p>\n<p>Sin embargo, nuestros expertos pudieron conseguir el c\u00f3digo fuente y encontraron una pista que condujo al arresto de los delincuentes: hab\u00eda comentarios en alem\u00e1n, por lo que era muy probable que el <i>malware<\/i> procediera de Holanda.<\/p>\n<p>Pasamos esa informaci\u00f3n a la ciberpolic\u00eda holandesa y en pocos meses informaron de que hab\u00edan <a href=\"https:\/\/www.kaspersky.com\/blog\/criminals-behind-the-coinvault-ransomware-are-busted-by-kaspersky-lab-and-dutch-police\/9886\/\" target=\"_blank\" rel=\"noopener nofollow\">capturado<\/a> a los delincuentes. Gracias a nuestra cooperaci\u00f3n con la polic\u00eda, conseguimos las claves del servidor de comando y control y desarrollamos una <a href=\"https:\/\/www.kaspersky.es\/blog\/coinvault-ransomware-removal-instruction\/5789\/\" target=\"_blank\" rel=\"noopener\">herramienta para descifrar datos<\/a>.<\/p>\n<h3>La justicia est\u00e1 valorando las pruebas<\/h3>\n<p>La polic\u00eda recopil\u00f3 1,300 declaraciones de v\u00edctimas de <i>ransomware<\/i>. Algunos comparecieron ante el tribunal para solicitar una compensaci\u00f3n. Una v\u00edctima, por ejemplo, se qued\u00f3 sin vacaciones por culpa del <i>ransomware<\/i>. Estimaron el da\u00f1o en 5,000 euros y afirmaron que esta suma le impedir\u00eda pagar otro viaje.<\/p>\n<p>Otra v\u00edctima solicit\u00f3 que le devolvieran la cantidad del rescate en la misma moneda, bitcoin. Desde el ataque, la tasa de cambio de la <a href=\"https:\/\/securelist.com\/threats\/cryptocurrency-glossary\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">criptomoneda<\/a> aument\u00f3 30 veces su valor, por lo que, si el tribunal aceptara esta reclamaci\u00f3n, ser\u00eda la primera vez que la parte perjudicada ganara dinero de un ataque <i>ransomware<\/i>.<\/p>\n<p>En una audiencia reciente, los abogados de la acusaci\u00f3n solicitaron un castigo de 3 meses de prisi\u00f3n, seguidos de nueve meses de libertad condicional y 240 horas de servicios comunitarios. La defensa pidi\u00f3 al tribunal que no metiera en la c\u00e1rcel a los hermanos, ya que estos hab\u00edan cooperado en la investigaci\u00f3n, adem\u00e1s, uno es irreemplazable en su trabajo actual y el otro est\u00e1 en la facultad. La sentencia tendr\u00e1 lugar en la pr\u00f3xima vista, el 26 de julio.<\/p>\n<h3>Los intrusos van a ser procesados<\/h3>\n<p>Siempre decimos que ceder ante los criminales puede motivarlos. El juicio de los creadores de CoinVault muestra que ni siquiera los ciberdelincuentes an\u00f3nimos pueden escapar del castigo. Pero en vez de esperar tres a\u00f1os a la justicia, es mejor que te protejas y recuerdes nuestros consejos b\u00e1sicos:<\/p>\n<ul>\n<li>No hagas clic en enlaces sospechosos y no abras archivos adjuntos en correos electr\u00f3nicos sospechosos.<\/li>\n<li>Realiza copias de seguridad de archivos importantes peri\u00f3dicamente.<\/li>\n<li>Utiliza una .<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>En Holanda, los creadores de uno de los primeros ransomware cifradores est\u00e1n siendo juzgados, gracias, en gran parte, a nosotros.<\/p>\n","protected":false},"author":2484,"featured_media":13178,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2613,1816,476,212,746,472,2538,1262],"class_list":{"0":"post-13176","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-cifradores","9":"tag-coinvault","10":"tag-juicio","11":"tag-noticias","12":"tag-policia","13":"tag-ransomware","14":"tag-tribunal","15":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/coinvault-in-court\/13176\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/coinvault-in-court\/13700\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/coinvault-in-court\/11470\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/coinvault-in-court\/15765\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/coinvault-in-court\/14041\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/coinvault-in-court\/16535\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/coinvault-in-court\/15993\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/coinvault-in-court\/20919\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/coinvault-in-court\/23123\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/coinvault-in-court\/10743\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/coinvault-in-court\/10556\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/coinvault-in-court\/9494\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/coinvault-in-court\/17298\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/coinvault-in-court\/20813\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/coinvault-in-court\/16997\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/coinvault-in-court\/20628\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/coinvault-in-court\/20624\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13176","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=13176"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13176\/revisions"}],"predecessor-version":[{"id":13177,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13176\/revisions\/13177"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/13178"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=13176"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=13176"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=13176"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}