Bộ Tư pháp Hoa Kỳ hôm thứ Hai đã cáo buộc một bác sĩ tim mạch 55 tuổi đến từ Venezuela là chủ mưu đằng sau Thanos ransomware, buộc tội anh ta sử dụng và bán công cụ độc hại và tham gia vào các thỏa thuận phân chia lợi nhuận.
Moises Luis Zagala Gonzalez, còn được biết đến với biệt danh Nosophoros, Aesculapius và Nebuchadnezzar, được cho là đã phát triển và tiếp thị ransomware cho các tội phạm mạng khác để tạo điều kiện cho các cuộc xâm nhập và nhận được một phần thanh toán bằng bitcoin.
Nếu bị kết tội, Zagala phải đối mặt với án tù lên đến 5 năm vì cố gắng xâm nhập máy tính và 5 năm tù vì âm mưu xâm nhập máy tính.
“Bác sĩ đa nhiệm điều trị bệnh nhân, tạo và đặt tên cho công cụ mạng của mình sau khi chết, thu lợi từ hệ sinh thái ransomware toàn cầu, trong đó anh ta bán các công cụ để tiến hành các cuộc tấn công ransomware, huấn luyện những kẻ tấn công về cách tống tiền nạn nhân và sau đó khoe khoang về các cuộc tấn công thành công , bao gồm cả bởi những kẻ độc hại liên quan đến chính phủ Iran, “luật sư Hoa Kỳ Breon Peace cho biết.
Kế hoạch ransomware-as-a-service (RaaS) liên quan đến việc mã hóa các tệp thuộc các công ty, tổ chức phi lợi nhuận và các tổ chức khác, sau đó đòi tiền chuộc để đổi lấy khóa giải mã.
Về cốt lõi, Thanos là một nhà xây dựng ransomware riêng cho phép người mua (hay còn gọi là chi nhánh) tạo ra phần mềm ransomware tùy chỉnh của riêng họ, sau đó họ có thể sử dụng hoặc cho các tác nhân khác thuê, mở rộng phạm vi tấn công một cách hiệu quả.
Một phân tích của Recorded Future vào tháng 6 năm 2020 tiết lộ rằng trình xây dựng đi kèm với 43 tùy chọn cấu hình khác nhau, gọi nó là dòng ransomware đầu tiên tận dụng kỹ thuật RIPlace để vượt qua các tính năng bảo vệ ransomware được tích hợp trong windows 10.
Các tùy chọn có sẵn bao gồm khả năng sửa đổi ghi chú đòi tiền chuộc, chỉ định danh sách các loại tệp sẽ được lọc trước khi mã hóa và cài đặt để tránh bị phát hiện và tự xóa phần mềm tống tiền sau khi thực thi.
Zagala được cho là đã quảng cáo phần mềm này trên diễn đàn tội phạm mạng darknet với giá 500 USD một tháng với “tùy chọn cơ bản” hoặc 800 USD với “tùy chọn đầy đủ”, đồng thời tuyển dụng các chi nhánh cho chương trình RaaS.
DoJ cho biết: “Vào hoặc khoảng ngày 1 tháng 5 năm 2020, một nguồn tin mật của FBI (CHS-1) đã thảo luận về việc tham gia ‘chương trình liên kết' của Zagala. “Zagala trả lời:” Không phải bây giờ. Đừng có chỗ “, trước khi tiếp tục cấp phép phần mềm cho CHS-1 và giúp người cung cấp thông tin hướng dẫn về cách sử dụng phần mềm và thiết lập nhóm liên kết.
Zagala, người đã nhận được nhiều đánh giá tích cực cho các công cụ ransomware của mình, cuối cùng đã được truy tìm vào ngày 3 tháng 5 năm 2022, sau khi xác định được tài khoản PayPal thuộc về người thân của anh ta, cư trú tại bang Florida của Hoa Kỳ và đã sử dụng để lấy số tiền bất hợp pháp.
“Cá nhân xác nhận rằng Zagala sống ở Venezuela và đã tự học lập trình máy tính”, DoJ cho biết.
.
