美司法部指控55岁专家医生开发、使用、销售“Thanos”勒索软件

美国司法部当地时间5月16日表示，居住在委内瑞拉玻利瓦尔城的拥有法国和委内瑞拉国籍的55岁心脏病专家莫伊塞斯·路易斯·扎加拉·冈萨雷斯 (Zagala) 创建了Jigsaw和Thanos勒索软件并将其出租给网络犯罪分子。据FBI的调查，名为“Thanos”的工具允许用户以每月高达800美元的许可费创建自己的定制勒索软件。另一款名为“Jigsaw v. 2”的产品具有内置的“世界末日”计数器功能，可在多次尝试删除勒索软件后擦除受害者的硬盘驱动器。纽约东区美国检察官Breon Peace和纽约外地办事处 (FBI) 联邦调查局助理主管Michael J. Driscoll宣布了这些指控。

Zagala（又名 Nosophoros、Aesculapius和Nebuchadnezzar）还向购买恶意软件并分享在全球范围内勒索受害者后赚取的利润的网络犯罪分子提供支持。

“据称，这位医生身兼数职，治疗病人的同时，还创建并命名他的网络工具，从全球勒索软件生态系统中获利，在该生态系统中他出售进行勒索软件攻击的工具，培训攻击者如何勒索受害者，然后吹嘘关于成功的攻击，包括与伊朗政府有关的恶意行为者，”美国检察官布Breon Peace说。

据称Zagala不仅创造并向黑客出售勒索软件产品，而且还培训了他们的使用方法。

Jigsaw勒索软件包括一个“世界末日”计数器，它会每小时从受害者的驱动器中删除一定数量的文件， 直到支付赎金，每次重置后文件数量都会增加。

Jigsaw自2021年秋季以来一直没有活跃，即便如此，活跃度也很低。Emsisoft提供Jigsaw勒索软件解密器。

Thanos勒索 软件是一种在俄语黑客论坛上宣传的勒索软件即服务 (RaaS) 操作。该恶意软件允许关联公司使用开发人员提供的构建器自定义他们自己的勒索软件。

Zagala的产品受到客户的广泛好评。一位客户在一个在线论坛上声称，他使用 Thanos软件感染了3,000 台计算机。另一位俄罗斯用户称赞Zagala的客户支持：“我们已经使用这个产品一个多月了，我们有很好的利润！我遇到的最好的支持。” 

根据司法部的指控，Zagala并没有简单地出售 Thanos软件，而是允许个人以两种方式付费。首先，犯罪分子可以购买“许可证”在一段时间内使用该软件。Thanos软件旨在与Zagala控制的北卡罗来纳州夏洛特市的服务器定期联系，以确认用户拥有有效的许可证。或者，Thanos客户可以加入Zagala所谓的“附属计划”，在该计划中，他向用户提供对Thanos构建器的访问权限，以换取勒索软件攻击的利润份额。Zagala收到了法定货币和加密货币的付款，包括门罗币和比特币。

Zagala在网络犯罪分子经常光顾的各种在线论坛上宣传 Thanos软件，使用的昵称与希腊神话有关。他喜欢的两个绰号是“Aesculapius”，指的是古希腊的医学之神，以及“Nosophoros”，在希腊语中的意思是“携带疾病”。在该程序的公开广告中，Zagala吹嘘说，使用 Thanos制作的勒索软件几乎无法被防病毒程序检测到，并且“一旦加密完成”，勒索软件将“自行删除”，从而使受害者“几乎不可能”检测和恢复。 

在与客户的私人聊天中，Zagala向他们解释了如何部署他的勒索软件产品——如何设计赎金票据、从受害者计算机窃取密码以及设置用于支付赎金的比特币地址。正如Zagala在讨论Jigsaw时向一位客户解释的那样：“受害者在给定的 btc [比特币] 地址付款并解密他的文件。” Zagala还指出，“有惩罚……[i]如果用户重新启动。每次重新运行它都会以删除1000个文件来惩罚你。” Zagala解释完软件的所有功能后，客户回复说：“先生，我真的需要这么说。. . 你是有史以来最好的开发者。” 扎加拉回答说：“谢谢你，很高兴听到[。]我非常受宠若惊和自豪。” Zagala只有一个要求：“如果您有时间，而且对您来说不是太麻烦，请描述您与我的经历”在线评论中。

该勒索软件菌株于2022年2月停止出现在ID-Ransomware提交中，勒索软件构建器于2021年6月在VirusTotal 上泄露。

Thanos 勒索软件活动 (ID-Ransomware)

由于附属公司使用不同的加密扩展，一些Thanos勒索软件样本以前被标记为 Prometheus、Haron或Hakbit勒索软件。然而，Recorded Future的Insikt Group发现它们是同一种恶意软件。

“基于代码相似性、字符串重用和核心功能，Insikt Group高度自信地评估，跟踪为Hakbit的勒索软件样本是使用Nosophoros开发的Thanos勒索软件构建器构建的，”Insikt Group说。

根据5月16日的DOJ新闻稿，据称Zagala公开讨论了他的“客户”如何使用他的工具进行勒索软件攻击，“包括链接到有关伊朗国家资助的黑客组织使用 Thano攻击以色列公司的新闻报道。” 。

Thanos勒索软件生成器

2022年5月，执法人员在自愿采访了Zagala的一位亲戚后，将他与Thanos勒索软件运营联系起来，该亲戚使用PayPal账户从勒索软件操作中收取了Zagala的一些非法收益。

此人还向他们展示了存储在他手机中的联系信息，被告用于注册一些Thanos勒索软件恶意基础设施。

如果罪名成立，Zagala将因企图入侵计算机而面临最高五年的监禁，并因串谋入侵计算机而面临五年监禁。 

参考资源 

1、https://www.justice.gov/usao-edny/pr/hacker-and-ransomware-designer-charged-use-and-sale-ransomware-and-profit-sharing

2、https://www.cyberscoop.com/fbi-charges-venezuelan-doctor-with-using-selling-thanos-ransomware/

3、https://www.bleepingcomputer.com/news/security/us-links-thanos-and-jigsaw-ransomware-to-55-year-old-doctor/

文章来源：网空闲话