Cardiologo di 55 anni ha sviluppato ransomware Thanos

Computer code displayed on screens arranged in Danbury, U.K., on Thursday, Jan. 7, 2021. In the spring, hackers managed to insert malicious code into a software product from an IT provider called SolarWinds Corp., whose client list includes 300,000 institutions. Photographer: Chris Ratcliffe/Bloomberg

Rilevato per la prima volta nel febbraio 2020, il ransomware Thanos è stato pubblicizzato per la vendita sui forum del dark web. Gli Stati Uniti identificano il suo sviluppatore, in un medico venezuelano

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato lunedì (16 maggio 2022) che un cardiologo di nome Moises Luis Zagala Gonzalez (Zagala), 55 anni e che vive a Ciudad Bolivar, in Venezuela, ha affittato i programmi ransomware Jigsaw e Thanos ad attori malevoli, atti a commettere crimini informatici.

Il medico venezuelano ha messo in piedi una attività informatica criminale

Gli specialisti della sicurezza informatica affermano che Thanos ha consentito a vari gruppi di attori di minacce l’implementazione delle proprie varianti di ransomware. Zagala ha anche sviluppato una guida all’uso dei suoi strumenti, oltre a divulgare varie tattiche che i gruppi di hacker potrebbero utilizzare per ottenere maggiori profitti dai loro attacchi.

Individuazione di Moises Luis Zagala Gonzales

Moises Luis Zagala Gonzalez (Zagala) è un cardiologo con cittadinanza francese e venezuelana residente a Ciudad Bolivar, Venezuela. Zagala (alias Nosophoros, Esculapius e Nebuchadnezzar) ha anche offerto supporto ai criminali informatici che hanno acquistato il malware e condiviso i profitti guadagnati dopo aver riscattato le vittime in tutto il mondo.

Gli interessati possono ottenere una licenza per accedere al software o aderire a un programma di affiliazione sviluppato da Zagala per condividere i propri profitti con lo sviluppatore di Thanos. Questo strumento dannoso è stato commercializzato attraverso varie piattaforme nel dark web, con pubblicazioni che fanno riferimento alle sue funzionalità avanzate come l’adattamento a qualsiasi variante del malware di crittografia.

L’accusa

Il procuratore del Dipartimento di Giustizia statunitense ha emesso l’accusa contro un medico venezuelano di 55 anni di aver creato e venduto software dannoso ampiamente utilizzato che i criminali informatici.

Una denuncia penale è stata aperta oggi davanti al tribunale federale di Brooklyn, New York, accusando Moises Luis Zagala Gonzalez (Zagala), noto anche come “Nosophoros”, “Esculapius” e “Nebuchadnezzar”, un cittadino francese e venezuelano che risiede in Venezuela, con tentate intrusioni informatiche e cospirazione per commettere intrusioni informatiche. Le accuse derivano dall’uso e dalla vendita di ransomware da parte di Zagala, nonché dal suo ampio supporto e accordi di condivisione degli utili con i criminali informatici che hanno utilizzato i suoi programmi ransomware.

Breon Peace, procuratore degli Stati Uniti per il distretto orientale di New York, e Michael J. Driscoll, vicedirettore in carica, Federal Bureau of Investigation, New York Field Office (FBI), hanno annunciato le accuse.

Nello stesso momento in cui Zagala gestiva uno schema di affiliazione attraverso il quale gli hacker condividevano le entrate ricavate dal ransomware, stava anche concedendo in licenza il virus Thanos utilizzando un server di licenza che ospitava a Charlotte, nella Carolina del Nord.

Nell’affidavit si legge che questo ceppo di ransomware non è più stato inviato a ID-Ransomware dopo il mese di febbraio 2022 e il sorgente del ransomware sembra essere trapelato su VirusTotal nel mese di giugno 2021.

Secondo il Federal Bureau of Investigation (FBI), un informatore avrebbe fornito informazioni dettagliate su Thanos, incluso un tutorial tratto direttamente dal dark web. Dopo aver fatto qualche ricerca in più, gli agenti hanno scoperto che clienti e affiliati si rivolgevano spesso a Zagala per risolvere i dubbi sul funzionamento di questo strumento.

Zagala godeva di una buona reputazione nella comunità dei criminali informatici; tra le testimonianze dei suoi molteplici clienti spicca quella in cui si afferma che, utilizzando Thanos, gli attori malevoli siano riusciti a infettare una rete di almeno 300 computer, oltre a lodare il supporto ricevuto dallo strumento.

Le indagini

Entro la fine del 2021, il sospetto aveva già la sensazione che gli agenti dell’FBI lo stessero cercando. Secondo l’informatore dell’Agenzia, Zagala ha iniziato a cambiare ripetutamente il suo nome utente sui suoi profili del dark web: “Gli analisti di malware sono su di me”, ha detto a coloro che gli erano vicini. All’inizio di maggio, l’FBI ha identificato alcuni parenti del sospetto, con sede in Florida, confermando l’identità di Zagala.

Nell’ambito delle indagini statunitensi su Zagala, oltre i dettagli dell’informatore, l’FBI ha acquistato di nascosto (sotto copertura) l’accesso a uno dei suoi strumenti di hacking e si è affidato a mediatori riservati nel mondo dei criminali informatici per costruire un caso, ha affermato il Dipartimento di Giustizia.

Nelle chat private con i clienti, Zagala ha spiegato loro come distribuire i suoi prodotti ransomware: come progettare una richiesta di riscatto, rubare le password dai computer delle vittime e impostare un indirizzo Bitcoin per i pagamenti del riscatto. Come Zagala ha spiegato a un cliente, discutendo di Jigsaw: “La vittima 1 paga all’indirizzo btc [Bitcoin] fornito e decodifica i suoi file”. Zagala ha anche notato che “c’è una punizione … [i] se l’utente si riavvia. Per ogni replica ti punirà con 1000 file cancellati. Dopo che Zagala ha spiegato tutte le caratteristiche del software, il cliente ha risposto: “Signore, devo proprio dirlo. . . Sei il miglior sviluppatore di sempre.” Zagala ha risposto: “Grazie è bello sentirlo [.] Sono molto lusingato e orgoglioso”. Zagala aveva solo una richiesta: “Se hai tempo e non è troppo disturbo per te, per favore descrivi la tua esperienza con me” in una recensione online

si legge del capo d’accusa.

Qualora gli Stati Uniti ottengano la sua estradizione, Zagala rischia una condanna fino a cinque anni di carcere per l’accusa di tentata intrusione e altri cinque anni per la complicità alle azioni criminali sulle intrusioni informatiche.