Un cardiologue devenu développeur de logiciels malveillants présumé a été chargé de créer le générateur de rançongiciels Thanos.

Moises Luis Zagala Gonzalez, 55 ans, citoyen français et vénézuélien résidant à Ciudad Bolivar, Venezuela, s’est livré à des tentatives d’intrusion informatique et à un complot en vue de commettre des intrusions informatiques, selon un plainte pénale américaine qui a été descellé lundi (16 mai).

Zagala est accusé d’avoir à la fois vendu et loué des packages de rançongiciels qu’il a développés à des cybercriminels.

Il est également accusé d’avoir formé des attaquants potentiels sur la façon d’utiliser ses marchandises pour extorquer des victimes, et s’est ensuite vanté d’attaques réussies, selon les procureurs américains.

Plateforme RaaS

Le programmeur autodidacte à temps partiel aurait conçu plusieurs outils de ransomware, des packages malveillants conçus pour chiffrer des fichiers sur un système compromis avant d’exiger des paiements exorbitants en échange d’une clé de déchiffrement.

Zagala a développé un outil de ransomware appelé « Jigsaw v.2 » avant de concevoir un constructeur de ransomware privé plus sophistiqué appelé Thanos, une référence soit au super-vilain de Marvel, soit à la figure « Thanatos » de la mythologie grecque, selon le DoJ.

CONSEILLÉ Un hacker ukrainien emprisonné pour avoir vendu des identifiants de compte sur le dark web

La plate-forme Thanos pourrait être utilisée pour développer des campagnes de rançongiciels avec des notes de rançon personnalisées, des fonctionnalités conçues pour frustrer les chercheurs en sécurité et une fonction de « voleur de données » qui pourrait être utilisée pour extraire des fichiers de systèmes compromis.

Zagala aurait profité de l’opération de ransomware-as-a-service (Raas) en licenciant son logiciel à d’autres cybercriminels, obtenant des paiements en crypto-monnaie ou en monnaie fiduciaire.

Les produits et services de ransomware prétendument proposés par Zagala ont été annoncés et commercialisés via des forums en ligne fréquentés par des cybercriminels.

Erreurs de sécurité opérationnelle

Un certain nombre d’erreurs d’OpSec ont permis aux enquêteurs d’identifier Zagala comme suspect, a déclaré le DoJ.

En septembre 2020, un agent infiltré du FBI aurait acheté une licence pour Thanos à Zagala et téléchargé le logiciel. En outre, un informateur du FBI s’est entretenu avec Zagala de la possibilité d’établir un programme d’affiliation utilisant Thanos, selon le dossier du DoJ.

En outre, Zagala se serait vanté publiquement de la façon dont un groupe de piratage informatique parrainé par l’Iran utilise Thanos pour attaquer des entreprises israéliennes.

Le logiciel Thanos a été conçu pour établir des contacts périodiques avec un serveur à Charlotte, en Caroline du Nord, pour vérifier les licences. Ce système était apparemment lié à Zagala.

De plus, un parent de Zagala basé en Floride a été interrogé par les forces de l’ordre le 3 mai 2022 et a admis que son compte PayPal avait été utilisé par Zagala pour recevoir des fonds illicites.

Selon le DoJ, le parent a utilisé une adresse e-mail pour contacter Zagala qui correspondait à l’e-mail enregistré pour l’infrastructure malveillante associée au malware Thanos.

Les procureurs n’indiquent pas combien Zagala a gagné grâce à ses méfaits présumés, mais s’il est reconnu coupable, le suspect encourt jusqu’à cinq ans d’emprisonnement pour tentative d’intrusion informatique et cinq ans d’emprisonnement pour complot en vue de commettre des intrusions informatiques.