Die USA haben einen venezolanischen Kardiologen als mutmaßlichen Drahtzieher hinter der berüchtigten Thanos-Ransomware benannt.
Das US-Justizministerium hat am Montag Anklage gegen den 55-jährigen Kardiologen Moises Luis Zagala Gonzalez aus Cuidad Bolivar, Venezuela, erhoben. Die Vorwürfe erstrecken sich dabei auf versuchten Computereinbruch und die Verschwörung zum Begehen von Computereinbrüchen. Den Behörden zufolge hat sich Zagala das Programmieren selbst beigebracht und soll die Ransomware-Tools Thanos sowie Jigsaw v. 2 entwickelt und vertrieben haben.
Laut einer Pressemitteilung des DOJ bewarb Zagala sein Produkt, Thanos, ab Ende 2019 in Darknet-Cybercrimeforen. Infolge hätte er das Tool an Cyberkriminelle verkauft und vermietet. Im Gegenzug würden die Kunden einen Teil ihrer Einnahmen mit Zagala teilen. Das Geschäftsmodell bezeichnet man als »Ransomware as a service«.
Kunden-Rundumbetreuung sollte korrekte Benutzung sicherstellen
Gemäß Anklageschrift erfuhren die Kunden von dem Arzt nach dem Tool-Erwerb eine Rundumbetreuung. Er brachte ihnen nicht nur bei, wie sie die Tools zu benutzen haben, sondern coachte sie auch darin, wie man eine Lösegeldforderung konzipiert. Zudem soll er den Kriminellen beigebracht haben, wie man Passwörter von Opfercomputern stiehlt und eine Bitcoin-Adresse festgelegt für Lösegeldzahlungen. Mindestens 38 Exemplare des Thanos-Tools seien verkauft worden, so das FBI. Zagala ist ebenso unter den Namen „Nosophoros“, „Aesculapius“ und „Nebukadnezar“ bekannt.
Thanos: das Ransomware-Tool mit einer Vielzahl von Funktionen
Thanos verfügt über eine Vielzahl praktischer Funktionen: einen Datendieb, eine Selbstlöschfunktion, ein Feld zum Schreiben benutzerdefinierter Lösegeldforderungen und ein Anti-Virtual Machine Tool, das entwickelt wurde, um die Testumgebungen zu überlisten, die Sicherheitsforscher zur Analyse solcher Malware verwenden könnten.
Zagala erörterte offenbar öffentlich, wie die Kunden seiner Tools diese für Ransomware-Angriffe einsetzten. Er veröffentlichte sogar Links zu Nachrichtenberichten über die Verwendung von Thanos durch eine vom iranischen Staat gesponserte Hackergruppe, die israelische Unternehmen angriff. In einem der verlinkten Berichte haben die Verfasser detailliert beschrieben, wie die Hackergruppe MuddyWater die Ransomware verwendet hat, die das US Cyber Command Anfang des Jahres mit dem iranischen Geheimdienst in Verbindung brachte.
Arzt zugleich Entwickler von Jigsaw-Ransomware
Neben der Erstellung von Thanos beschuldigt man Zagala ebenso, „Jigsaw v. 2“ erstellt zu haben. Das Ransomware-Tool enthält einen „Doomsday Counter“. Dieser löst eine stündliche Löschung einer bestimmten Anzahl von Dateien von den Laufwerken der Opfer aus. Dies geht solange vonstatten, bis die Opfer das Lösegeld zahlen. Jigsaw ist seit Herbst 2021 nicht mehr aktiv. Ein Jigsaw-Ransomware-Entschlüsseler ist von Emsisoft erhältlich.
Die Produkte von Zagala standen bei Cyberkriminellen hoch im Kurs. Das DOJ führte an, es habe mehrere Bewertungen für seine Tools gefunden, die ihre Wirksamkeit geradezu anpriesen. Ein Rezensent führte aus, sie hätten die Produkte von Zagala verwendet, um „ein Netzwerk von ungefähr 3.000 Computern zu infizieren“. Ein anderer User schrieb auf Russisch, dass sie nach einem Monat der Verwendung der Ransomware-Tools „guten Gewinn“ eingefahren hätten.
US-Staatsanwalt Breon Peace fasst zusammen
„Der Multitasking-Arzt behandelte Patienten, schuf sein Cyber-Tool und benannte es nach dem Tod. Er profitierte von einem globalen Ransomware-Ökosystem, in dem er die Tools für die Durchführung von Ransomware-Angriffen verkaufte. Er schulte die Angreifer darin, wie man Opfer erpresst, und dann mit erfolgreichen Angriffen prahlte, auch durch bösartige Akteure, die mit der iranischen Regierung in Verbindung stehen“.
Zur Identifizierung des Arztes als vermutlicher Täter trug ein Verwandter bei
Das FBI konnte Zagala identifizieren, nachdem es einen Verwandten befragt hatte. Dieser hätte einen Teil von Zagalas illegalen Erlösen aus der Ransomware-Operation über ein PayPal-Konto gesammelt. Zagala verbleibt derweil in Venezuela. Die Aussichten, dass Zagala festgenommen und an die USA ausgeliefert wird, sind gering.
Ihm drohen bis zu 10 Jahre Gefängnis wegen versuchten Computereinbruchs und Verschwörungsvorwürfen, wenn er in den Vereinigten Staaten vor Gericht erscheinen müsste. Die Anklage sei Teil der Bemühungen des Justizministeriums, in den letzten Jahren Cyberangreifer, die sich außerhalb der US-Gerichtsbarkeit befinden, zu „benennen und zu beschämen“.