Американские власти заявили, что 55-летний кардиолог с французским и венесуэльским гражданством, проживающий в Венесуэле, Мойзес Луис Загала Гонсалес (Moises Luis Zagala Gonzalez), создал и сдавал в аренду другим хакерам известные шифровальщики Jigsaw и Thanos.
По данным Министерства юстиции США, Загала, использовавший в сети псевдонимы Nosophoros, Aesculapius и Nebuchadnezzar, не только сдавал свою малварь в аренду, но и предлагал киберпреступникам поддержку и обучение, а затем делил с ними прибыль — выкупы, полученные от жертв по всему миру.
«Многозадачный доктор лечил пациентов, создал и назвал свой киберинструмент в честь смерти, зарабатывал на глобальной экосистеме программ-вымогателей, продавая инструменты для проведения вымогательских-атак, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе совершенными хакерами, связанными с правительством Ирана», — комментирует прокурор США Бреон Пис.
Нужно отметить, что шифровальщик Jigsaw не проявлял активности с осени 2021 года, и даже в то время его активность была весьма низкой. Кроме того, для него доступен бесплатный дешифровщик, созданный экспертами Emsisoft.
Thanos, в свою очередь, работал по модели Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS) и рекламировался на русскоязычных хакерских форумах. Малварь позволяла партнерам Загалы создавать собственные программы-вымогатели с помощью специального конструктора.
Издание Bleeping Computer отмечает, что Nosophoros не только управлял партнерской программой, в рамках которой киберпреступники делились с ним прибылью от вымогательских атак, но также лицензировал Thanos, используя сервер лицензирования, размещенный в Северной Каролине.
По данным ID-Ransomware, активность Thanos практически перестала проявляться в феврале 2022 года, а билдер малвари «утек» на VirusTotal еще в июне 2021 года.
Также журналисты напоминают, что некоторые образцы Thanos ранее помечались как малварь Prometheus, Haron и Hakbit. Это происходило из-за различных расширений, используемых партнерами венесуэльского доктора. Однако исследователи из Recorded Future давно заметили, что это одна и та же малварь.
«Основываясь на сходстве кода, повторном использовании строк и основных функциях, мы с высокой степенью уверенности считаем, что образцы программ-вымогателей, отслеживаемые как Hakbit, были созданы с использованием билдера вымогателя Thanos, разработанного Nosophoros», — писали эксперты.
Американские власти сообщают, что в мае 2022 года агенты правоохранительных органов смогли окончательно связать Загалу с атаками Thanos, когда опросили одного из его родственников, который получил часть незаконных доходов от вымогательских операций, используя учетную записи PayPal.
Этот человек также передал следователям контактную информацию, хранящуюся в его телефоне, которую Nosophoros использовал для регистрации части инфраструктуры для Thanos.
В случае признания виновным Загале грозит до пяти лет лишения свободы за попытку вторжения в компьютерные сети и пять лет лишения свободы за сговор с целью совершения вторжений в компьютерные сети.
