美司法部指控55歲專家醫生開發、使用、銷售“Thanos”勒索軟件

美國司法部當地時間5月16日表示，居住在委內瑞拉玻利瓦爾城的擁有法國和委內瑞拉國籍的55歲心臟病專家莫伊塞斯·路易斯·扎加拉·岡薩雷斯 (Zagala) 創建了Jigsaw和Thanos勒索軟件并將其出租給網絡犯罪分子。據FBI的調查，名為“Thanos”的工具允許用戶以每月高達800美元的許可費創建自己的定制勒索軟件。另一款名為“Jigsaw v. 2”的產品具有內置的“世界末日”計數器功能，可在多次嘗試刪除勒索軟件后擦除受害者的硬盤驅動器。紐約東區美國檢察官Breon Peace和紐約外地辦事處 (FBI) 聯邦調查局助理主管Michael J. Driscoll宣布了這些指控。

Zagala（又名 Nosophoros、Aesculapius和Nebuchadnezzar）還向購買惡意軟件并分享在全球范圍內勒索受害者后賺取的利潤的網絡犯罪分子提供支持。

“據稱，這位醫生身兼數職，治療病人的同時，還創建并命名他的網絡工具，從全球勒索軟件生態系統中獲利，在該生態系統中他出售進行勒索軟件攻擊的工具，培訓攻擊者如何勒索受害者，然后吹噓關于成功的攻擊，包括與伊朗政府有關的惡意行為者，”美國檢察官布Breon Peace說。

據稱Zagala不僅創造并向黑客出售勒索軟件產品，而且還培訓了他們的使用方法。

Jigsaw勒索軟件包括一個“世界末日”計數器，它會每小時從受害者的驅動器中刪除一定數量的文件， 直到支付贖金，每次重置后文件數量都會增加。

Jigsaw自2021年秋季以來一直沒有活躍，即便如此，活躍度也很低。Emsisoft提供Jigsaw勒索軟件解密器。

Thanos勒索 軟件是一種在俄語黑客論壇上宣傳的勒索軟件即服務 (RaaS) 操作。該惡意軟件允許關聯公司使用開發人員提供的構建器自定義他們自己的勒索軟件。

Zagala的產品受到客戶的廣泛好評。一位客戶在一個在線論壇上聲稱，他使用 Thanos軟件感染了3,000 臺計算機。另一位俄羅斯用戶稱贊Zagala的客戶支持：“我們已經使用這個產品一個多月了，我們有很好的利潤！我遇到的最好的支持。” 

根據司法部的指控，Zagala并沒有簡單地出售 Thanos軟件，而是允許個人以兩種方式付費。首先，犯罪分子可以購買“許可證”在一段時間內使用該軟件。Thanos軟件旨在與Zagala控制的北卡羅來納州夏洛特市的服務器定期聯系，以確認用戶擁有有效的許可證。或者，Thanos客戶可以加入Zagala所謂的“附屬計劃”，在該計劃中，他向用戶提供對Thanos構建器的訪問權限，以換取勒索軟件攻擊的利潤份額。Zagala收到了法定貨幣和加密貨幣的付款，包括門羅幣和比特幣。

Zagala在網絡犯罪分子經常光顧的各種在線論壇上宣傳 Thanos軟件，使用的昵稱與希臘神話有關。他喜歡的兩個綽號是“Aesculapius”，指的是古希臘的醫學之神，以及“Nosophoros”，在希臘語中的意思是“攜帶疾病”。在該程序的公開廣告中，Zagala吹噓說，使用 Thanos制作的勒索軟件幾乎無法被防病毒程序檢測到，并且“一旦加密完成”，勒索軟件將“自行刪除”，從而使受害者“幾乎不可能”檢測和恢復。 

在與客戶的私人聊天中，Zagala向他們解釋了如何部署他的勒索軟件產品——如何設計贖金票據、從受害者計算機竊取密碼以及設置用于支付贖金的比特幣地址。正如Zagala在討論Jigsaw時向一位客戶解釋的那樣：“受害者在給定的 btc [比特幣] 地址付款并解密他的文件。” Zagala還指出，“有懲罰……[i]如果用戶重新啟動。每次重新運行它都會以刪除1000個文件來懲罰你。” Zagala解釋完軟件的所有功能后，客戶回復說：“先生，我真的需要這么說。. . 你是有史以來最好的開發者。” 扎加拉回答說：“謝謝你，很高興聽到[。]我非常受寵若驚和自豪。” Zagala只有一個要求：“如果您有時間，而且對您來說不是太麻煩，請描述您與我的經歷”在線評論中。

該勒索軟件菌株于2022年2月停止出現在ID-Ransomware提交中，勒索軟件構建器于2021年6月在VirusTotal 上泄露。

Thanos 勒索軟件活動 (ID-Ransomware)

由于附屬公司使用不同的加密擴展，一些Thanos勒索軟件樣本以前被標記為 Prometheus、Haron或Hakbit勒索軟件。然而，Recorded Future的Insikt Group發現它們是同一種惡意軟件。

“基于代碼相似性、字符串重用和核心功能，Insikt Group高度自信地評估，跟蹤為Hakbit的勒索軟件樣本是使用Nosophoros開發的Thanos勒索軟件構建器構建的，”Insikt Group說。

根據5月16日的DOJ新聞稿，據稱Zagala公開討論了他的“客戶”如何使用他的工具進行勒索軟件攻擊，“包括鏈接到有關伊朗國家資助的黑客組織使用 Thano攻擊以色列公司的新聞報道。” 。

Thanos勒索軟件生成器

2022年5月，執法人員在自愿采訪了Zagala的一位親戚后，將他與Thanos勒索軟件運營聯系起來，該親戚使用PayPal賬戶從勒索軟件操作中收取了Zagala的一些非法收益。

此人還向他們展示了存儲在他手機中的聯系信息，被告用于注冊一些Thanos勒索軟件惡意基礎設施。

如果罪名成立，Zagala將因企圖入侵計算機而面臨最高五年的監禁，并因串謀入侵計算機而面臨五年監禁。 

參考資源 

1、https://www.justice.gov/usao-edny/pr/hacker-and-ransomware-designer-charged-use-and-sale-ransomware-and-profit-sharing

2、https://www.cyberscoop.com/fbi-charges-venezuelan-doctor-with-using-selling-thanos-ransomware/

3、https://www.bleepingcomputer.com/news/security/us-links-thanos-and-jigsaw-ransomware-to-55-year-old-doctor/

文章來源：網空閑話