Estados Unidos acusa a un doctor venezolano de ser el autor de 2 ransomware

Moises Zagala, cardiólogo de 55 años y en sus ratos libres desarrollador del ransomware Jigsaw y Thanos, ahora es buscado por el DoJ (Departamento de Justicia) de los EE.UU. Jigsaw es un ransomware que va borrando a tus archivos cada hora hasta que pagas el rescate.

• El FBI llegó a él por que: - Usaba d mula a uno d sus familiares que reside en Florida, quien usaba su cuenta de PayPal para recibir el dinero
• Le ofreció una licencia de su software a un agende encubierto del FBI
• Usó su número personal de teléfono para crear la cuenta de correo con la que se comunicaba
• Tenía uno de sus servidores donde administraba las licencias en Carolina del Norte

Un médico venezolano, acusado por los EE.UU de ser el autor del ransomware Thanos y Jigsaw  

El Departamento de Justicia de Estados Unidos identificó al creador de los ransomware Thanos y Jigsaw como un cardiólogo venezolano, quien no habría sido demasiado cuidadoso en sus movimientos.  

• Thanos y Jigsaw, dos ransomware maliciosos que serían obra de un médico venezolano de 55 años llamado Moisés Luis Zagala González.

 

Según publicó el DoJ estadounidense, Zagala operaba en línea utilizando distintos alias, como Nosophoros, Aesculapius y Nebuchadnezzar. El sujeto, un cardiólogo radicado en Ciudad Bolívar, Venezuela, también cuenta con nacionalidad francesa; y ahora se enfrenta a una denuncia penal presentada ante el juzgado federal de Brooklyn, Nueva York.

Se le acusa por "intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas". Dichos cargos podrían reportarle sentencias de hasta cinco años de prisión cada uno, en caso de ser encontrado culpable de desarrollar, usar y vender los ransomware en cuestión, así como proporcionar asistencia para su utilización e involucrarse en el reparto de ganancias con otros cibercriminales.

"Alegamos que Zagala no solo creó y vendió productos de ransomware a piratas informáticos, sino que también los capacitó en su uso. Nuestras acciones de hoy evitarán que Zagala siga victimizando a los usuarios. Sin embargo, muchos otros delincuentes maliciosos están buscando empresas y organizaciones que no hayan tomado medidas para proteger sus sistemas, lo cual es un paso increíblemente vital para detener el próximo ataque de ransomware".

Michael J. Driscoll, subdirector a cargo de la oficina del FBI en Nueva York

Ransomware creado por un 'médico'

La historia detrás del creador de los ransomware Thanos y Jigsaw tiene varias aristas cuanto menos peculiares. Al parecer, Zagala no era precisamente discreto a la hora de revelar información sobre sus actividades ilegales en línea. De hecho, el reporte del Departamento de Justicia indica que el médico venezolano solía presumir sobre los ataques que eran perpetrados con sus herramientas cuando llegaban a las noticias. Esto ha permitido establecer aparentes vínculos con piratas informáticos patrocinados por el gobierno de Irán, según las autoridades estadounidenses.

Otro punto llamativo es que Zagala estableció dos modelos de negocio para comercializar su ransomware. Por un lado, creó una suerte de "programa de afiliados" en el que proveía su software malicioso a un grupo y posteriormente compartían sus ganancias; por el otro, licenciaba el ransomware Thanos a otros piratas informáticos.

Lo llamativo del segundo punto es que el FBI descubrió que dicho software se comunicaba periódicamente con un servidor en Carolina del Norte, Estados Unidos. Así, Zagala controlaba la activación de las licencias. Según explicó el Buró Federal de Investigaciones, un agente encubierto adquirió una licencia del citado malware durante la investigación. Posteriormente, la agencia dio de baja ese servidor.

Hundido por un familiar

El otro punto peculiar es que un familiar del "médico", radicado en Florida, le entregó valiosa información personal al FBI. No solo confirmó que recibía pagos por las actividades ilícitas de Zagala a través de PayPal, sino que también otorgó información de contacto del cardiólogo. Así, los agentes lograron corroborar que el sujeto utilizó su cuenta personal de correo electrónico para registrar parte de la infraestructura que utilizaba para licenciar el ransomware Thanos.

"El médico multitarea trató a los pacientes, creó su herramienta cibernética y la nombró en base a la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de los ataques exitosos. [...] La lucha contra el ransomware es una de las principales prioridades del Departamento de Justicia y de esta Oficina. Si te beneficias del ransomware, te encontraremos e interrumpiremos tus operaciones maliciosas".

Breon Peace, fiscal de los Estados Unidos para el Distrito Este de Nueva York.

Jigsaw, el ransomware que va borrando a tus archivos cada hora hasta que pagas el rescate

 Cada 60 minutos sin que abonemos el rescate borra un archivo, que ya se había cifrado, para evitar que pudiera ser rescatado. Si cerramos el proceso de Jigsaw o reiniciamos el ordenador, elimina 1.000 archivos. Y asegura que, si no pagamos, toda la información desaparecerá en 72 horas.

I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
       Now, let's start and enjoy our little game together!  

Fuentes:

https://hipertextual.com/2022/05/medico-venezolano-ransomware-thanos-jigsaw

https://blog.elhacker.net/2016/04/jigsaw-el-ransomware-que-va-borrando-tus-archivos-cada-hora-hasta-que-no-pagas-el-rescate.html