Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε ότι ο Moises Luis Zagala Gonzalez (Zagala), ένας 55χρονος γιατρός (καρδιολόγος) που κατοικεί στο Ciudad Bolivar της Βενεζουέλας, δημιούργησε και νοίκιασε το Jigsaw και το Thanos ransomware σε εγκληματίες του κυβερνοχώρου.
Ο Zagala (aka Nosophoros, Aesculapius και Nebuchadnezzar) φαίνεται να πρόσφερε επίσης υποστήριξη σε εγκληματίες που αγόραζαν τα κακόβουλα λογισμικά και μοιράζονταν τα κέρδη που είχαν οι επιτιθέμενοι από τα λύτρα.
Δείτε επίσης: Κρίσιμα σφάλματα στα τείχη προστασίας Zyxel και τα VPN
Σύμφωνα με τον εισαγγελέα των ΗΠΑ, Breon Peace, ο 55χρονος γιατρός νοίκιαζε τα ransomware σε εγκληματίες και εκπαίδευε τους επιτιθέμενους για το πώς να χρησιμοποιούν τα προγράμματα αλλά και το πώς να εκβιάζουν αποτελεσματικά τα θύματα για να έχουν περισσότερες πιθανότητες επιτυχίας. Στη συνέχεια, καυχιόταν για τις επιτυχείς επιθέσεις.
“Υποστηρίζουμε ότι ο Zagala όχι μόνο δημιούργησε και πούλησε προϊόντα ransomware σε hackers, αλλά τους εκπαίδευσε και στη χρήση τους“.
Το FBI ισχυρίζεται ότι ο γιατρός δημιούργησε μια version 2.0 του ransomware Jigsaw που σχεδιάστηκε για να ενημερώσει το παλαιότερο πρόγραμμα ransοmware, το οποίο είχε δημιουργηθεί από άλλους. Το Jigsaw ransomware περιλαμβάνει ένα “Doomsday” counter που διαγράφει έναν ορισμένο αριθμό αρχείων από τις συσκευές των θυμάτων κάθε ώρα μέχρι να πληρωθούν τα λύτρα. Μετά από κάθε reset, αυξάνεται ο αριθμός των αρχείων που διαγράφονται.
Το Jigsaw δεν είναι ενεργό από το φθινόπωρο του 2021 και, ακόμη και τότε, η δραστηριότητα ήταν πολύ χαμηλή. Αξίζει να σημειωθεί ότι η Emsisoft έχει κυκλοφορήσει ένα εργαλείο αποκρυπτογράφησης για το Jigsaw ransomware, ώστε να μπορούν τα θύματα να ανακτήσουν τα αρχεία τους χωρίς να πληρώσουν τα λύτρα στους hackers.
Δείτε επίσης: Pixelmon NFT: Ψεύτικο site μολύνει επισκέπτες με malware
Όσον αφορά στο Thanos ransomware, είναι μια λειτουργία Ransomware-as-a-Service (RaaS) που διαφημίζεται κυρίως σε ρωσόφωνα hacking forums. Σύμφωνα με τα στοιχεία, το συγκεκριμένο κακόβουλο λογισμικό επιτρέπει στους affiliates να κάνουν προσαρμογές με βάση τις ανάγκες τους. Για παράδειγμα, είναι δυνατή η προσαρμογή του σημειώματος λύτρων, η επιλογή αρχείων προς κρυπτογράφηση, ενώ υπάρχουν και διάφορες επιλογές που θα βοηθήσουν στην απόκρυψη του κακόβουλου κώδικα από τα προγράμματα εντοπισμού ιών.
Το Thanos ransomware έπαψε να εμφανίζεται στις υποβολές ID-Ransomware τον Φεβρουάριο του 2022 και το ransοmware builder διέρρευσε στο VirusTotal τον Ιούνιο του 2021.
Ορισμένα δείγματα του ransomware Thanos είχαν προηγουμένως επισημανθεί ως Prometheus, Haron ή Hakbit ransomware λόγω διαφορετικών επεκτάσεων κρυπτογράφησης που χρησιμοποιούνταν από διαφορετικούς affiliates. Ωστόσο, ερευνητές ασφαλείας ανακάλυψαν ότι επρόκειτο για το ίδιο κακόβουλο λογισμικό.
“Με βάση την ομοιότητα κώδικα, την επαναχρησιμοποίηση συμβολοσειρών και τη βασική λειτουργικότητα, η Insikt Group αξιολογεί με μεγάλη σιγουριά ότι τα δείγματα ransomware που παρακολουθούνται ως Hakbit δημιουργούνται χρησιμοποιώντας το Thanos ransomware builder που αναπτύχθηκε από τον Nosophoros“, δήλωσε η Insikt Group.
Σύμφωνα με το δελτίο τύπου του DOJ, ο 55χονος γιατρός που βρίσκεται πίσω από τα Thanos και Jigsaw ransomware, φέρεται να συζητούσε δημόσια πώς οι “πελάτες” του χρησιμοποιούσαν τα εργαλεία του σε επιθέσεις ransomware. Είχε αναφέρει, επίσης, τη χρήση του Thanos από μια ομάδα hacking που χρηματοδοτείται από το Ιράν για να επιτεθεί σε ισραηλινές εταιρείες.
Δείτε επίσης: App Store/Play Store: Χιλιάδες εφαρμογές δεν λαμβάνουν ενημερώσεις εδώ και χρόνια
Τον Μάιο του 2022, οι αρχές επιβολής του νόμου συνέδεσαν τον Zagala με το ransomware Thanos αφού πήραν συνέντευξη από έναν από τους συγγενείς του που συγκέντρωσε μερικά από τα παράνομα έσοδα του Zagala από τη λειτουργία ransomware.
Αυτό το άτομο τους έδειξε επίσης στοιχεία επικοινωνίας που ήταν αποθηκευμένα στο τηλέφωνό του και τα οποία χρησιμοποίησε ο κατηγορούμενος για να καταχωρίσει ορισμένες από τις κακόβουλες υποδομές ransomware Thanos.
Εάν καταδικαστεί, ο Zagala αντιμετωπίζει ποινή φυλάκισης έως και πέντε χρόνια για απόπειρα εισβολής σε υπολογιστές και πέντε χρόνια φυλάκιση για συνωμοσία για τη διάπραξη εισβολών σε υπολογιστές.
Πηγή: www.bleepingcomputer.com