Автором вирусов-требователей Jigsaw и Thanos оказался 55-летний врач из Венесуэлы

18 мая 2022, 15:31
Читати новину українською

Американские власти заявили, что 55-летний кардиолог с французским и венесуэльским гражданством, проживающий в Венесуэле, создал и сдавал в аренду другим хакерам известные шифровальщики Jigsaw и Thanos.

Мойзес Луис Загала Гонсалес – так зовут подозреваемого – использовал в сети псевдонимы Nosophoros, Aesculapius и Nebuchadnezzar. Он не только сдавал одну из своих программ в аренду, но и предлагал киберпреступникам поддержку и обучение, а затем делил с ними прибыль – выкупы, полученные от жертв по всему миру.

Интересно Хакеры взломали тысячи сайтов на WordPress: теперь они перенаправляют на мошеннические страницы

Вирус в аренду

Прокурор США Бреон Пис заявил, что Гонсалес работал, в частности, с хакерами, связанными с правительством Ирана.

  • Шифровальщик Jigsaw не проявлял активности с осени 2021 года, а до этого его активность была достаточно низкой. Кроме того, для него существует бесплатный дешифровщик, созданный экспертами Emsisoft.
  • Thanos, в свою очередь, работал по модели Ransomware-as-a-Service (вымогатель-как-услуга) и рекламировался на русскоязычных хакерских форумах.
  • Малвар разрешала создавать собственные программы-высогатели с помощью специального конструктора.
  • Bleeping Computer отмечает, что создатель вирусов не только руководил партнерской программой, в рамках которой киберпреступники делились с ним прибылью от атак, но также лицензировал Thanos, используя сервер лицензирования, размещенный в Северной Каролине.
  • Активность Thanos практически перестала проявляться в феврале 2022 года, а код его оказался на VirusTotal еще в июне 2021 года.

Стоит отметить, что Thanos ранее обозначалась как Prometheus, Haron и Hakbit. Это происходило из-за разных расширений, используемых партнерами венесуэльского доктора. Однако исследователи из Recorded Future давно определили, что это одна и та же программа.

Окончательно связать Гонсалеса с атаками Thanos стражам порядка удалось лишь в мае 2022 года, когда допросили одного из его родственников, получившего часть незаконных доходов, используя PayPal. Информатор также передал следователям контактную информацию, хранящуюся в его телефоне, которую Nosophoros использовал для регистрации части инфраструктуры Thanos.

В случае признания виновным ему грозит до пяти лет лишения свободы за попытку вторжения в компьютерные сети и пять лет лишения свободы за сговор с целью совершения вторжений в компьютерные сети.