El 16 de mayo del presente año, el Departamento de Justicia de los Estados Unidos comunicó mediante su página web que Moisés Luis Zagala González, un cardiólogo de 55 años con ciudadanía francesa y venezolana residente en Ciudad Bolívar, Venezuela, creó y alquiló los ransomware Jigsaw y Thanos a diferentes ciberdelincuentes.
Zagala (también conocido como Nosophoros, Aesculapius y Nabucodonosor) también ha ofrecido todo tipo de apoyo a sus «clientes» que compraron el malware, además de compartir las ganancias obtenidas después de que la víctima pagara el rescate solicitado por los operadores y afiliados de los Ransomware Jigsaw y Thanos.

Imagen: Departamento de Justicia de los Estados Unidos
Según Breon Peace, fiscal federal de los Estados Unidos, «Como se alega, el médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética después de la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques cibernéticos, capacitó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán… Alegamos que Zagala no solo creó y vendió productos de ransomware a piratas informáticos, sino que también los entrenó en su uso.»
Jigsaw Ransomware incluye un sistema de autodestrucción denominado cómo «Doomsday«, el cual tiene la función de eliminar una cierta cantidad de archivos de las unidades de las víctimas cada hora hasta que se realice el pago del rescate, con un número creciente de archivos después de cada reinicio. Según registros de actividad, Jigsaw no ha estado activo desde el otoño de 2021, incluso entonces, la actividad fue realmente baja. Actualmente, existe un descifrador gratuito para este ransomware y se encuentra disponible en Emsisoft.
Thanos ransomware es otro de los malwares que ha desarrollado el cardiólogo, su principal característica, además de tener el servicio de RaaS (Ransomware-as-a-Services), ha sido de que se ha promocionado en diferentes foros de ciberdelincuentes de habla rusa. El malware y el modelo de negocio permite a los afiliados personalizar su propio ransomware, utilizando una plataforma de construcción ofrecido por el desarrollador.
Mientras que Zagala se encargaba de dirigir un robusto programa de afiliados, donde los participantes compartían sus ganancias obtenidas de los rescates, también licenció el malware Thanos utilizando un servidor de licencias que fue alojado en Charlotte, Carolina del Norte.
Se estima que la cepa de este ransomware en concreto, dejó de aparecer en las presentaciones de ID-Ransomware en febrero del presente año.

Imagen: ID-Ransomware
Algunas muestras del ransomware Thanos han sido etiquetadas previamente como Prometheus, Haron o Hakbit ransomware, debido a diferentes extensiones de cifrado utilizadas por los afiliados. Sin embargo, Insikt Group de Recorded Future descubrió que son el mismo malware.
«Basado en la similitud del código, la reutilización de cadenas y la funcionalidad central, Insikt Group evalúa con gran confianza que las muestras de ransomware rastreadas como Hakbit se construyen utilizando el constructor de ransomware Thanos desarrollado por Nosophoros«, dijo Insikt Group.

Imagen: Recorded Future
Según el comunicado del Departamento de Justicia, Zagala supuestamente discutió públicamente cómo sus «clientes» usaron sus herramientas en ataques de ransomware, «incluso al vincularse a una noticia sobre el uso de Thanos por parte de un grupo de piratería patrocinado por el estado iraní para atacar a empresas israelíes«. (probablemente este informe de ClearSky sobre la Operación Arenas Movedizas de MuddyWater).
En mayo de 2022, los agentes de la ley vincularon a Zagala con la operación de ransomware de Thanos después de entrevistar a uno de sus familiares, que recolectó algunas de las ganancias ilícitas de Zagala de la operación de ransomware utilizando una cuenta de PayPal.
Este individuo también les mostró información de contacto almacenada en su teléfono que el acusado utilizó para registrar parte de la infraestructura maliciosa del ransomware, Thanos.
Si es declarado culpable, Zagala enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.