Het Amerikaanse ministerie van Justitie beschuldigde maandag een 55-jarige cardioloog uit Venezuela ervan het brein achter Thanos-ransomware te zijn, hem het gebruik en de verkoop van de kwaadaardige tool aan te klagen en winstdelingsregelingen aan te gaan.
Moises Luis Zagala Gonzalez, ook bekend onder de bijnamen Nosophoros, Aesculapius en Nebuchadnezzar, zou de ransomware zowel hebben ontwikkeld als op de markt hebben gebracht aan andere cybercriminelen om de inbraken te vergemakkelijken en een deel van de bitcoin-betaling te krijgen.
Indien veroordeeld, riskeert Zagala tot vijf jaar gevangenisstraf voor poging tot computerinbraak, en vijf jaar gevangenisstraf voor samenzwering om computerinbraken te plegen.
“De multi-tasking arts behandelde patiënten, creëerde en noemde zijn cybertool naar zijn doodprofiteerde van een wereldwijd ransomware-ecosysteem waarin hij de tools voor het uitvoeren van ransomware-aanvallen verkocht, de aanvallers trainde over hoe ze slachtoffers konden afpersen en vervolgens opschepte over succesvolle aanvallen, ook door kwaadwillende actoren die banden hebben met de regering van Iran”, aldus de Amerikaanse advocaat Breon Peace zei.
Het ransomware-as-a-service (RaaS)-schema omvatte het versleutelen van bestanden van bedrijven, non-profitorganisaties en andere instellingen, en vervolgens losgeld eisen in ruil voor de decoderingssleutel.
In de kern is Thanos een particuliere ransomware-bouwer waarmee zijn kopers (ook wel gelieerde ondernemingen genoemd) hun eigen aangepaste ransomware-software kunnen maken, die ze vervolgens kunnen gebruiken of verhuren aan andere actoren, waardoor de reikwijdte van de aanvallen effectief wordt vergroot.
Een analyse door Recorded Future in juni 2020 onthulde dat de bouwer wordt geleverd met 43 verschillende configuratie-opties, wat het de eerste ransomware-familie noemt die gebruikmaakt van de RIPlace techniek om de in Windows 10 ingebouwde ransomware-beveiligingsfuncties te omzeilen.
Beschikbare opties zijn onder meer de mogelijkheid om de losgeldnota’s te wijzigen, de lijst met bestandstypen op te geven die moeten worden geëxfiltreerd voorafgaand aan de versleuteling en instellingen om detectie te omzeilen en de ransomware na uitvoering zelf te verwijderen.
Zagala zou de software op darknet-forums voor cybercriminaliteit hebben geadverteerd voor $ 500 per maand met “basisopties” of $ 800 met “volledige opties”, terwijl ze ook filialen wierf voor het RaaS-programma.
“Op of rond 1 mei 2020 besprak een vertrouwelijke menselijke bron van de FBI (CHS-1) deelname aan Zagala’s ‘affiliate-programma'”, aldus het DoJ. “Zagala antwoordde: ‘Voorlopig niet. Heb geen plekken’, voordat ze de software aan CHS-1 in licentie gaven en de informant hielp met tutorials over het gebruik van de software en het opzetten van een aangesloten team.
Zagala, die lovende kritieken kreeg voor zijn ransomware-tools, werd uiteindelijk getraceerd op 3 mei 2022, nadat hij een PayPal-rekening had geïdentificeerd die toebehoorde aan zijn familielid dat in de Amerikaanse staat Florida woont en waarmee hij de illegale opbrengsten heeft verkregen.
“De persoon bevestigde dat Zagala in Venezuela woont en zichzelf computerprogrammering heeft geleerd”, aldus het ministerie van Justitie.
