В понедельник Министерство юстиции США обвинило 55-летнего кардиолога из Венесуэлы в создании шифровальщика Thanos, предъявив ему обвинения в использовании и продаже вредоносного инструмента и заключении соглашений о разделе прибыли.
Мойзес Луис Загала Гонсалес, также известный под псевдонимами Nosophoros, Aesculapius, и Nebuchadnezzar, как утверждается, разработал и продавал вредоносную программу другим киберпреступникам с целью проведения кибератак и получал долю от Bitcoin-платежей.
Если Загала будет признан виновным, ему грозит до пяти лет лишения свободы за преступления в сфере высоких технологий и пять лет лишения свободы за сговор с целью совершения преступлений в сфере высоких технологий.
«Многозадачный доктор не только лечил пациентов, но и создал и назвал свой киберинструмент в честь смерти, наживался на глобальной экосистеме шифровальщиков, в которой продавал инструменты для проведения атак, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана» - заявил прокурор США Бреон Мир.
Схема ransomware-as-a-service (RaaS) предусматривала шифрование файлов, принадлежащих компаниям, некоммерческим организациям и другим учреждениям, а затем требование выкупа в обмен на ключ дешифровки.
По своей сути Thanos - это частный конструктор программ-вымогателей, позволяющий покупателям (они же партнеры) создавать собственные шифровальщики, которые они затем могут использовать или сдавать в аренду другим злоумышленникам, эффективно расширяя масштабы атак.
Анализ, проведенный компанией Recorded Future в июне 2020 года, показал, что конструктор поставляется с 43 различными вариантами конфигурации, что делает его первым семейством шифровальщиков, использующим технику RIPlace для обхода функций защиты от шифровальщиков, встроенных в Windows 10.
Некоторые из доступных опций включают возможность изменения примечаний к требованию выкупа, указания списка типов файлов, которые будут удалены перед шифрованием, а также настройки для обхода обнаружения и самоуничтожения вредоноса после выполнения.
Считается, что Загала рекламировал программное обеспечение на киберпреступных форумах в Darknet по цене 500 долларов в месяц с «базовыми опциями» или 800 долларов с «полными опциями», а также набирал партнеров для программы RaaS.
«Примерно 1 мая 2020 года конфиденциальный человеческий источник ФБР (CHS-1) обсуждал возможность присоединения к «партнерской программе» Загалы» - говорится в сообщении Минюста. Загала ответил: «Пока нет. У меня нет мест» - после чего выдал лицензию на программное обеспечение CHS-1 и помог информатору с учебниками по использованию программного обеспечения и созданию партнерской команды.
Загала, который получил благоприятные отзывы о своих инструментах для создания шифровальщиков, в конечном итоге был отслежен 3 мая 2022 года после идентификации счета PayPal, принадлежащего его родственнику, проживающему в американском штате Флорида, который использовался для получения незаконных доходов.
«Этот человек подтвердил, что Загала проживает в Венесуэле и самостоятельно обучился программированию» - сообщает Минюст США.
Источник: https://thehackernews.com
