55-летний кардиолог оказался автором опасного вымогательского ПО
18/05/22
Министерство юстиции США заявило, что Мойзес Луис Загала Гонсалес (Zagala), 55-летний кардиолог с французским и венесуэльским гражданством, проживающий в Сьюдад-Боливаре, Венесуэла, разработал и сдал в аренду киберпреступникам программы-вымогатели Jigsaw и Thanos.
Злоумышленник покупал вредоносное ПО и делился прибылью с Zagala после выкупа жертв по всему миру. Zagala (Nosophoros, Aesculapius, Nebuchadnezzar) также предлагал свою поддержку киберпреступнику.
«Как утверждается, врач лечил пациентов, а также создал и назвал свой киберинструмент After Death, извлек выгоду из глобальной экосистемы вредоносных программ, в которой он продавал инструменты для проведения атак с использованием программ-вымогателей, обучал злоумышленников вымогать деньги у жертвы, а затем хвастался успешными атаками, в том числе злоумышленниками, связанными с правительство Ирана», - заявил прокурор США Бреон Пис.
«Zagala не только создавал и продавал хакерам программы-вымогатели, но и обучал их использованию», - добавил помощник главного директора Дрисколл .
Программа-вымогатель Jigsaw включает в себя счетчик Судного дня (Doomsday), удаляющий определенное количество файлов с дисков жертв каждый час до оплаты выкупа. После каждого сброса количество удаляемых файлов увеличивается. С осени 2021 года активность Jigsaw была низкой, и вскоре Emsisoft выпустили дешифратор Jigsaw .
Thanos является RaaS программой, которая рекламируется на русскоязычных хакерских форумах. Вредоносное ПО позволяет аффилированным лицам настраивать свои собственные программы-вымогатели с помощью конструктора от разработчика. Параллельно с управлением партнёрской программой для сбора прибыли с киберпреступников, хакер также регистрировал вредоносное ПО Thanos с помощью сервера лицензирования, расположенного в Шарлотте, Северная Каролина. Thanos перестал появляться в сообщениях о взломе ID-Ransomware c февраля 2022 года, а в июне 2021 года на VirusTotal произошла утечка конструктора вредоносных программ Ransomware Builder.
Некоторые образцы вредоносного ПО Thanos ранее были помечены как Prometheus, Haron или Hakbit из-за различных форматов шифрования, используемых аффилированными лицами. Однако, группа Insikt из Recorded Future обнаружила, что это одна и та же программа.
«Основываясь на сходстве кода, повторном использовании строк и базовой функциональности, Insikt Group с высокой степенью уверенности оценивает, что образцы программы Hakbit созданы с использованием конструктора Thanos Ransomware Builder, разработанного Nosophoros», - говорится в сообщении Insikt Group.
По словам Министерства юстиции США, Zagala публично обсуждал использование его инструментов «клиентами», «в том числе путем ссылки на новостную статью об использовании хакерской группой, спонсируемой иранским государством, программы Thanos для атак на израильские компании», согласно отчету ClearSky об операции Operation Quicksand .
В мае 2022 года сотрудники правоохранительных органов указали на причастность Zagala к программе Thanos после допроса одного из его родственников, собравшего часть доходов киберпреступника через PayPal аккаунт. Родственник также показал контактную информацию со своего телефона, которую обвиняемый использовал для регистрации некоторых программ Thanos. Хакеру грозит до 5 лет тюремного заключения за попытку компьютерного вторжения и 5 лет тюрьмы за сговор с целью совершения кибервзломов.