El Departamento de Justicia de EE. UU. acusó el lunes a un cardiólogo venezolano de 55 años de ser el autor intelectual del ransomware Thanos, acusándolo del uso y la venta de la herramienta maliciosa y celebrando acuerdos de participación en las ganancias.
Se alega que Moisés Luis Zagala González, también conocido por los apodos de Nosophoros, Aesculapius y Nabuchadnezzar, desarrolló y comercializó el ransomware a otros ciberdelincuentes para facilitar las intrusiones y obtener una parte del pago de bitcoin.
Si es declarado culpable, Zagala enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.
«El médico polivalente trataba a los pacientes, creaba y nombró su herramienta cibernética después de la muertese benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, capacitó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de los ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán», dijo el abogado estadounidense Breon Peace. dicho.
El esquema de ransomware como servicio (RaaS) implicaba el cifrado de archivos pertenecientes a empresas, entidades sin fines de lucro y otras instituciones, y luego exigía un rescate a cambio de la clave de descifrado.
En esencia, Thanos es un desarrollador de ransomware privado que permite a sus compradores (también conocidos como afiliados) crear su propio software de ransomware personalizado, que luego podrían usar o arrendar a otros actores, ampliando efectivamente el alcance de los ataques.
Un análisis por Recorded Future en junio de 2020 reveló que el constructor viene con 43 opciones de configuración diferentes, llamándolo la primera familia de ransomware en aprovechar el Lugar RIP técnica para omitir las funciones de protección contra ransomware integradas en Windows 10.
Las opciones disponibles incluyen la capacidad de modificar las notas de rescate, especificar la lista de tipos de archivos que se filtrarán antes del cifrado y la configuración para evadir la detección y autoeliminar el ransomware después de la ejecución.
Se cree que Zagala anunció el software en los foros de delitos cibernéticos de la red oscura por $500 al mes con «opciones básicas» u $800 con «opciones completas», mientras que también reclutaba afiliados para el programa RaaS.
“El 1 de mayo de 2020 o alrededor de esa fecha, una fuente humana confidencial del FBI (CHS-1) discutió unirse al ‘programa de afiliados’ de Zagala”, dijo el Departamento de Justicia. «Zagala respondió: ‘No por ahora. No tengo lugares», antes de proceder a otorgar la licencia del software a CHS-1 y ayudar al informante con tutoriales sobre cómo usar el software y configurar un equipo afiliado.
Zagala, que recibió críticas favorables por sus herramientas de ransomware, finalmente fue rastreado el 3 de mayo de 2022, luego de identificar una cuenta de PayPal perteneciente a su pariente que reside en el estado de Florida, EE. UU., y que utilizó para obtener ganancias ilícitas.
“El individuo confirmó que Zagala reside en Venezuela y aprendió por sí mismo programación de computadoras”, dijo el Departamento de Justicia.