Dokter Venezuela Dalang di Balik Thanos Ransomware dan Menjualnya ke Peretas Iran
Departemen Kehakiman AS menuduh seorang ahli jantung Venezuela berusia 55 tahun sebagai dalang di balik Thanos ransomware pada hari Senin, menuduhnya menggunakan dan menjual Thanos ransomware yang merusak serta mengadakan perjanjian pembagian keuntungan.
Moises Luis Zagala Gonzalez, juga dikenal sebagai Nosophoros, Aesculapius, dan Nebuchadnezzar, dituduh mengembangkan dan memasarkan ransomware ke peretas lain untuk memfasilitasi penyusupan dan menerima bagian dari pembayaran bitcoin.
Zagala menghadapi hukuman 5 tahun penjara karena percobaan penyusupan komputer dan lima tahun penjara karena konspirasi untuk melakukan penyusupan komputer jika terbukti bersalah.
"Dokter multitasking itu merawat pasien, membuat dan menamai alat sibernya setelah kematiannya, mengambil keuntungan dari ekosistem ransomware global di mana ia menjual alat untuk melakukan serangan ransomware, melatih penyerang tentang cara memeras korban, dan kemudian membual tentang serangan yang berhasil, termasuk serangan aktor jahat yang terkait dengan pemerintah Iran," kata pengacara AS Breon Peace.
Paket ransomware-as-a-service (RaaS) mengenkripsi file milik bisnis, entitas nirlaba, dan institusi lain sebelum meminta tebusan sebagai ganti kunci dekripsi.
 |
| Moises Luis Zagala Gonzalez |
Thanos, pada intinya, adalah pembuat ransomware pribadi yang memungkinkan pembelinya (alias afiliasi) untuk membuat software ransomware milik mereka sendiri, yang kemudian dapat mereka gunakan atau sewa ke aktor lain, secara signifikan memperluas jangkauan serangan.
Menurut penelitian Juni 2020 oleh Recorded Future, mengungkapkan bahwa pembuatnya memiliki 43 pilihan konfigurasi yang berbeda, menjadikannya keluarga ransomware pertama yang menggunakan teknik RIPlace untuk mem-bypass fitur perlindungan ransomware yang ada di dalam Windows 10.
Kemampuan untuk mengubah catatan tebusan, memilih daftar jenis file yang akan dieksfiltrasi sebelum enkripsi, dan pengaturan untuk menghindari deteksi dan menghapus sendiri ransomware setelah eksekusi adalah beberapa pilihan yang dapat diakses.
Zagala diduga mengiklankan software tersebut di forum kejahatan dunia maya darknet seharga $500 per bulan dengan "basic options" atau $800 per bulan dengan "full options", sementara juga merekrut afiliasi untuk operasi RaaS.
"Pada atau sekitar 1 Mei 2020, sumber rahasia FBI (CHS-1) mengusulkan bergabung dengan 'program afiliasi' Zagala," kata Departemen Kehakiman. "'Tidak untuk saat ini,' kata Zagala. Tidak ada lokasi, "sebelum melisensikan program ke CHS-1 dan membantu informan dengan pelajaran tentang cara memanfaatkan software dan membangun tim afiliasi
Zagala, yang menerima ulasan positif untuk alat ransomware-nya, akhirnya dilacak pada 3 Mei 2022, setelah menemukan akun PayPal milik kerabat di negara bagian Florida AS yang digunakan untuk memperoleh keuntungan yang melanggar hukum.
"Orang tersebut memverifikasi bahwa Zagala tinggal di Venezuela dan belajar sendiri pemrograman komputer," kata Departemen Kehakiman.