Das US-Justizministerium beschuldigte am Montag einen 55-jährigen Kardiologen aus Venezuela, der Drahtzieher der Ransomware Thanos zu sein, und klagte ihn wegen der Nutzung und des Verkaufs des bösartigen Tools und der Vereinbarung von Gewinnbeteiligungen an.
Moises Luis Zagala Gonzalez, der auch unter den Namen Nosophoros, Aesculapius und Nebukadnezar bekannt ist, soll die Ransomware entwickelt und an andere Cyberkriminelle vermarktet haben, um die Einbrüche zu erleichtern und einen Anteil an den Bitcoin-Zahlungen zu erhalten.
Im Falle einer Verurteilung drohen Zagala bis zu fünf Jahre Haft wegen versuchten Computereinbruchs und fünf Jahre Haft wegen Verschwörung zu Computereinbrüchen.
„Der Multitasking-Arzt behandelte Patienten, schuf sein Cyber-Tool und benannte es nach dem Tod, profitierte von einem globalen Ransomware-Ökosystem, in dem er die Tools für die Durchführung von Ransomware-Angriffen verkaufte, die Angreifer darin schulte, wie man Opfer erpresst, und dann mit erfolgreichen Angriffen prahlte, unter anderem von bösartigen Akteuren, die mit der iranischen Regierung in Verbindung stehen“, sagte US-Staatsanwalt Breon Peace.
Bei der Ransomware-as-a-Service (RaaS)-Methode wurden Dateien von Unternehmen, gemeinnützigen Organisationen und anderen Einrichtungen verschlüsselt und dann ein Lösegeld für den Entschlüsselungsschlüssel gefordert.
Im Kern ist Thanos ein privater Ransomware-Builder, der es seinen Käufern (auch Affiliates genannt) ermöglicht, ihre eigene Ransomware-Software zu erstellen, die sie dann nutzen oder an andere Akteure vermieten können, um so die Reichweite der Angriffe zu erhöhen.
Eine Analyse von Recorded Future im Juni 2020 ergab, dass der Builder über 43 verschiedene Konfigurationsoptionen verfügt. Damit ist er die erste Ransomware-Familie, die die RIPlace-Technik nutzt, um die in Windows 10 eingebauten Ransomware-Schutzfunktionen zu umgehen.
Zu den verfügbaren Optionen gehören die Möglichkeit, die Lösegeldnotizen zu ändern, die Liste der Dateitypen festzulegen, die vor der Verschlüsselung exfiltriert werden sollen, sowie Einstellungen, um die Erkennung zu umgehen und die Ransomware nach der Ausführung selbst zu löschen.
Es wird vermutet, dass Zagala die Software in Darknet-Cybercrime-Foren für 500 US-Dollar pro Monat mit „Basisoptionen“ oder 800 US-Dollar mit „vollen Optionen“ beworben hat, während er gleichzeitig Partner für das RaaS-Programm rekrutierte.
„Am oder um den 1. Mai 2020 sprach eine vertrauliche menschliche Quelle des FBI (CHS-1) darüber, Zagalas ‚Partnerprogramm‘ beizutreten“, so das Justizministerium. „Zagala antwortete: ‚Im Moment nicht. Ich habe keine Spots“, bevor er die Software an CHS-1 lizenzierte und dem Informanten mit Anleitungen zur Nutzung der Software und zum Aufbau eines Partnerteams half.
Zagala, der gute Kritiken für seine Ransomware-Tools erhielt, wurde schließlich am 3. Mai 2022 aufgespürt, nachdem ein PayPal-Konto identifiziert worden war, das seinem Verwandten mit Wohnsitz im US-Bundesstaat Florida gehörte und über das die illegalen Einnahmen abgewickelt wurden.
„Die Person bestätigte, dass Zagala in Venezuela wohnt und sich das Programmieren selbst beigebracht hatte“, so das Justizministerium.