Le ministère américain de la Justice a accusé lundi un cardiologue vénézuélien de 55 ans d’être le cerveau du rançongiciel Thanos, l’accusant d’avoir utilisé et vendu l’outil malveillant et conclu des accords de partage des bénéfices. Moises Luis Zagala Gonzalez, également connu sous les surnoms de Nosophoros, Esculape et Nabuchodonosor, aurait à la fois développé et commercialisé le ransomware auprès d’autres cybercriminels pour faciliter les intrusions et obtenir une part du paiement en bitcoins. S’il est reconnu coupable, Zagala risque jusqu’à cinq ans d’emprisonnement pour tentative d’intrusion informatique et cinq ans d’emprisonnement pour complot en vue de commettre des intrusions informatiques. « Le médecin multitâche a traité des patients, créé et nommé son cyber-outil après sa mort, profité d’un écosystème mondial de ransomwares dans lequel il a vendu les outils pour mener des attaques de ransomwares, formé les attaquants sur la façon d’extorquer les victimes, puis s’est vanté d’attaques réussies , y compris par des acteurs malveillants associés au gouvernement iranien », a déclaré l’avocat américain Breon Peace. Le système de ransomware-as-a-service (RaaS) impliquait de chiffrer des fichiers appartenant à des entreprises, des entités à but non lucratif et d’autres institutions, puis d’exiger une rançon en échange de la clé de déchiffrement.

À la base, Thanos est un constructeur de ransomwares privé qui permet à ses acheteurs (alias affiliés) de créer leur propre logiciel de ransomware personnalisé, qu’ils pourraient ensuite utiliser ou louer à d’autres acteurs, élargissant ainsi la portée des attaques. Une analyse par Recorded Future en juin 2020 a révélé que le constructeur est livré avec 43 options de configuration différentes, l’appelant la première famille de ransomwares à tirer parti de la technique RIPlace pour contourner les fonctionnalités de protection contre les ransomwares intégrées à Windows 10. Certaines des options disponibles incluent la possibilité de modifier les notes de rançon, de spécifier la liste des types de fichiers à exfiltrer avant le chiffrement et les paramètres pour échapper à la détection et supprimer automatiquement le ransomware après son exécution. On pense que Zagala a annoncé le logiciel sur les forums de cybercriminalité darknet pour 500 $ par mois avec des « options de base » ou 800 $ avec des « options complètes », tout en recrutant des affiliés pour le programme RaaS. « Le ou vers le 1er mai 2020, une source humaine confidentielle du FBI (CHS-1) a discuté de rejoindre le » programme d’affiliation « de Zagala », a déclaré le DoJ. « Zagala a répondu: » Pas pour l’instant. Je n’ai pas de spots « , avant de procéder à la licence du logiciel à CHS-1 et d’aider l’informateur avec des tutoriels sur la façon d’utiliser le logiciel et de mettre en place une équipe affiliée. Zagala, qui a reçu des critiques favorables pour ses outils de ransomware, a finalement été retrouvé le 3 mai 2022, après avoir identifié un compte PayPal appartenant à son proche qui réside dans l’État américain de Floride et qui a été utilisé pour obtenir les produits illicites. « L’individu a confirmé que Zagala réside au Venezuela et a appris la programmation informatique par lui-même », a déclaré le DoJ.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *