Blog

Un medico de 55 años sería el responsable del desarrollo de los Ransomwares Thanos y Jigsaw

El 16 de mayo del presente año, el Departamento de Justicia de los Estados Unidos comunicó mediante su página web que Moisés Luis Zagala González, un cardiólogo de 55 años con ciudadanía francesa y venezolana residente en Ciudad Bolívar, Venezuela, creó y alquiló los ransomware Jigsaw y Thanos a diferentes ciberdelincuentes.

Zagala (también conocido como Nosophoros, Aesculapius y Nabucodonosor) también ha ofrecido todo tipo de apoyo a sus «clientes» que compraron el malware, además de compartir las ganancias obtenidas después de que la víctima pagara el rescate solicitado por los operadores y afiliados de los Ransomware Jigsaw y Thanos.

Selfie y una fotografía de la Cedula de Identidad del Dr. Moisés Luis Zagala González.
Imagen: Departamento de Justicia de los Estados Unidos

Según Breon Peace, fiscal federal de los Estados Unidos, «Como se alega, el médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética después de la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques cibernéticos, capacitó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán… Alegamos que Zagala no solo creó y vendió productos de ransomware a piratas informáticos, sino que también los entrenó en su uso.»

Jigsaw Ransomware incluye un sistema de autodestrucción denominado cómo «Doomsday«, el cual tiene la función de eliminar una cierta cantidad de archivos de las unidades de las víctimas cada hora hasta que se realice el pago del rescate, con un número creciente de archivos después de cada reinicio. Según registros de actividad, Jigsaw no ha estado activo desde el otoño de 2021, incluso entonces, la actividad fue realmente baja. Actualmente, existe un descifrador gratuito para este ransomware y se encuentra disponible en Emsisoft.

Thanos ransomware es otro de los malwares que ha desarrollado el cardiólogo, su principal característica, además de tener el servicio de RaaS (Ransomware-as-a-Services), ha sido de que se ha promocionado en diferentes foros de hackers de habla rusa. El malware y el modelo de negocio permite a los afiliados personalizar su propio ransomware, utilizando una plataforma de construcción ofrecido por el desarrollador.

Mientras que Zagala se encargaba de dirigir un robusto programa de afiliados, donde los participantes compartían sus ganancias obtenidas de los rescates, también licenció el malware Thanos utilizando un servidor de licencias que fue alojado en Charlotte, Carolina del Norte.

Se estima que la cepa de este ransomware en concreto, dejó de aparecer en las presentaciones de ID-Ransomware en febrero del presente año.

Actividad de ransomware Thanos
Imagen: ID-Ransomware

Algunas muestras del ransomware Thanos han sido etiquetadas previamente como Prometheus, Haron o Hakbit ransomware, debido a diferentes extensiones de cifrado utilizadas por los afiliados. Sin embargo, Insikt Group de Recorded Future descubrió que son el mismo malware.

«Basado en la similitud del código, la reutilización de cadenas y la funcionalidad central, Insikt Group evalúa con gran confianza que las muestras de ransomware rastreadas como Hakbit se construyen utilizando el constructor de ransomware Thanos desarrollado por Nosophoros«, dijo Insikt Group.

Constructor de Thanos ransomware.
Imagen: Recorded Future

Según el comunicado del Departamento de Justicia, Zagala supuestamente discutió públicamente cómo sus «clientes» usaron sus herramientas en ataques de ransomware, «incluso al vincularse a una noticia sobre el uso de Thanos por parte de un grupo de piratería patrocinado por el estado iraní para atacar a empresas israelíes«. (probablemente este informe de ClearSky sobre la Operación Arenas Movedizas de MuddyWater).

En mayo de 2022, los agentes de la ley vincularon a Zagala con la operación de ransomware de Thanos después de entrevistar a uno de sus familiares, que recolectó algunas de las ganancias ilícitas de Zagala de la operación de ransomware utilizando una cuenta de PayPal.

Este individuo también les mostró información de contacto almacenada en su teléfono que el acusado utilizó para registrar parte de la infraestructura maliciosa del ransomware, Thanos.

Si es declarado culpable, Zagala enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required