Le ministère américain de la Justice a accusé lundi un cardiologue vénézuélien de 55 ans d’être le cerveau derrière le rançongiciel Thanos, l’accusant d’utiliser et de vendre l’outil malveillant et de conclure des accords de partage des bénéfices.

Moises Luis Zagala Gonzalez, également connu sous les noms de Nosophoros, Esculape et Nabuchodonosor, aurait à la fois développé et commercialisé le logiciel de rançon à d’autres cybercriminels pour faciliter les intrusions et obtenir une part du paiement en bitcoins.

S’il est reconnu coupable, Zagala risque jusqu’à cinq ans d’emprisonnement pour tentative d’intrusion informatique et cinq ans d’emprisonnement pour complot en vue de commettre des intrusions informatiques.

« Le médecin polyvalent soignait les patients, créait et a nommé son cyber-outil après la morta profité d’un écosystème mondial de ransomwares dans lequel il a vendu les outils pour mener des attaques de ransomwares, a formé les attaquants sur la façon d’extorquer les victimes, puis s’est vanté d’attaques réussies, y compris par des acteurs malveillants associés au gouvernement iranien », a déclaré l’avocat américain Breon Peace. mentionné.

Le système de ransomware-as-a-service (RaaS) impliquait de chiffrer des fichiers appartenant à des entreprises, des entités à but non lucratif et d’autres institutions, puis d’exiger une rançon en échange de la clé de déchiffrement.

À la base, Thanos est un constructeur de ransomwares privé qui permet à ses acheteurs (alias affiliés) de créer leur propre logiciel de ransomware personnalisé, qu’ils pourraient ensuite utiliser ou louer à d’autres acteurs, élargissant ainsi la portée des attaques.

Un une analyse par Recorded Future en juin 2020 a révélé que le constructeur est livré avec 43 options de configuration différentes, l’appelant la première famille de ransomwares à tirer parti du RIPlace technique pour contourner les fonctionnalités de protection contre les ransomwares intégrées à Windows 10.

Les options disponibles incluent la possibilité de modifier les notes de rançon, de spécifier la liste des types de fichiers à exfiltrer avant le chiffrement et les paramètres pour échapper à la détection et supprimer automatiquement le ransomware après son exécution.

On pense que Zagala a annoncé le logiciel sur les forums de cybercriminalité darknet pour 500 $ par mois avec des « options de base » ou 800 $ avec des « options complètes », tout en recrutant des affiliés pour le programme RaaS.

« Le ou vers le 1er mai 2020, une source humaine confidentielle du FBI (CHS-1) a discuté de rejoindre le » programme d’affiliation « de Zagala », a déclaré le DoJ. « Zagala a répondu: » Pas pour l’instant. Je n’ai pas de spots « , avant de procéder à la licence du logiciel à CHS-1 et d’aider l’informateur avec des tutoriels sur la façon d’utiliser le logiciel et de mettre en place une équipe affiliée.

Zagala, qui a reçu des critiques favorables pour ses outils de ransomware, a finalement été retrouvé le 3 mai 2022, après avoir identifié un compte PayPal appartenant à son parent qui réside dans l’État américain de Floride et qui servait à obtenir les produits illicites.

« L’individu a confirmé que Zagala réside au Venezuela et a appris la programmation informatique par lui-même », a déclaré le DoJ.