14 сентября 2015 года полиция Нидерландов арестовала двух жителей Амерсфорта (18 и 22 лет) по подозрению в совершении кибератак с применением шифровальщика CoinVault, жертвами которого с мая 2014 года стали пользователи в более чем 20 странах. Найти подозреваемых и получить сведения об их местонахождении Национальному подразделению высокотехнологичных преступлений полиции Нидерландов помогли данные «Лаборатории Касперского». Также помощь оказала компания Panda Security, предоставившая для изучения несколько образцов программы-вымогателя.
Киберпреступники пытались заразить шифровальщиком CoinVault десятки тысяч компьютеров по всему миру. Больше всего пользователей пострадало в Нидерландах, Германии, США, Франции и Великобритании.
Вирусописатели несколько раз модифицировали вредоносную программу, чтобы увеличить число жертв. Первый образец шифровальщика был обнаружен в ноябре 2014 года, после чего CoinVault на несколько месяцев затаился. Но уже в апреле 2015 года был задетектирован новый образец программы. После этого «Лаборатория Касперского» совместно с Национальным подразделением высокотехнологичных преступлений полиции Нидерландов выпустила базу ключей для расшифровки файлов noransom.kaspersky.com и открыла доступ к онлайн-приложению, с помощью которого жертвы CoinVault могли вернуть данные без уплаты выкупа киберпреступникам.
Спустя некоторое время с «Лабораторией Касперского» связалась компания Panda Security, которая передала дополнительные образцы вредоносных программ, которые, как показало исследование, также оказались модификациями CoinVault. В коде образцов содержались строчки на безукоризненном нидерландском. Этот язык достаточно трудный, чтобы писать на нем без ошибок, поэтому в «Лаборатории Касперского» заподозрили, что авторы программы могут быть жителями этой страны. Завершив анализ всех имеющихся в распоряжении образцов шифровальщика, компания передала результаты в полицию Нидерландов.