Разделы

Безопасность Госрегулирование Стратегия безопасности Кадры

Создателем прогремевших на весь мир троянов оказался пожилой законопослушный врач-кардиолог

Власти США выявили разработчика вредоносных программ Jigsaw и Thanos, получивших широкое распространение в конце прошлого десятилетия. Им оказался 55-летний кардиолог из Венесуэлы. Со слов его родственников, программированию он обучился самостоятельно. Свое ПО он продавал и даже лицензировал одним хакерам, а другие получали его бесплатно в обмен на часть прибыли от атак.

Хакер под маской врача

Министерство юстиции США сегодня обвинило 55-летнего гражданина Венесуэлы Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) в создании нашумевших вирусов-вымогателей, пишет портал Bleeping Computer. По утверждению представителей ведомства, именно он ответственен за создание шифровальщиков Jigsaw и Thanos.

В документах американского Минюста указано, что Гонсалес, работающий кардиологом имеющий двойное гражданство (Венесуэла и Франция) не стал ограничиваться одной лишь разработкой Jigsaw и Thanos. По утверждению властей, он продавал и лицензировал их другим хакерам, а также предлагал им свои услуги по техподдержке малварей и обучению их использованию.

Дополнительным гонораром Гонсалеса, по информации Минюста, являлась часть выкупа, который получали хакеры от своих жертв. В киберпреступном сообществе кардиолог был известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar.

В пожилом докторе едва ли можно заподозрить талантливого киберпреступника

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти (Thanos – в честь Tanatos олицетворения смерти в греческой мифологии – прим. CNews), а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаках, в том числе со стороны злоумышленников, связанных с правительством Ирана», а – заявил прокурор США Брион Пис (Breon Peace).

Творения Гонсалеса

Jigsaw – это первое творение кардиолога, проживающего в Сьюдад-Боливаре (Венесуэла). По данным Bleeping Computer, этот вымогатель не проявлял активность с осени 2021 г., хотя и до этого он использовался нечасто, в том числе и потому, что для него существует бесплатный дешифровщик. Что вдохновило Гонсалеса назвать свой продукт именно так, остается неизвестным. Не исключено, что это отсылка к фильмам серии «Пила» (Jigsaw). Также это может быть связано с популярным видом головоломок jigsaw puzzle, в России известным просто как «пазл».

На основе оригинального Jigsaw, по данным Минюста США, хакер разработал Jigsaw 2.0, в который встроил так называемый счетчик «судного дня» (Doomsday counter). Он отслеживал, сколько раз пользователь пытался уничтожить программу-вымогатель на своем ПК. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жесткий диск», – приводят представители Минюста цитату из описания к вредоносу.

Во второй половине 2019 г. Гонсалес начал рекламировать свой новый продукт – Thanos. Вероятно, название является отсылкой к одноименному злодею из вселенной Marvel, который уничтожил половину всего живого во Вселенной. Имя персонажа является выводом из имени Танатос, олицетворения смерти в греческой мифологии.

Thanos представляет собой своего рода конструктор по созданию программ-вымогателей. С его помощью хакеры могут создавать собственные вредоносы для дальнейшего использования или предоставления в аренду другим киберпрестуникам. Thanos распространялся по модели Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS)

Схема заработка

Гонсалес разработал целую схему монетизации своих вредоносов, которую наиболее успешно применял с Thanos. Он предложил всем интересующимся два способа заполучить его продукт.

Первый подразумевал покупку «лицензии» на использование Thanos. Такая лицензия имела свой срок действия, а в сам конструктор был встроен скрипт, в котором прописаны алгоритмы фонового подключения к специальному серверу для проверки действительности лицензии. Сервер размещался в Шарлотте (Северная Каролина, США). Стоимость базовой лицензии составляла $500 (31,8 тыс. руб. по курсу ЦБ на 18 мая 2022 г.). Она подразумевала лишь ограниченный набор возможностей конструктора. За $800 (50,8 тыс. руб.) клиенты получали доступ ко всем функциям Thanos.

Второй способ сам Гонсалес называл «партнерской программой». Хакер открывал желающим доступ к Thanos в обмен на часть выкупа. Расплачиваться с ним можно было как фиатными деньгами, так и криптовалютой, включая Monero и Bitcoin.

Максимальная клиент-ориентированность

Гонсалес продвигал Thanos на различных онлайн-форумах, часто посещаемых киберпреступниками, используя псевдонимы, отсылающие к греческой мифологии. Двумя его любимыми прозвищами были «Эскулап» (Aesculapius), относящееся к древнегреческому богу медицины, и «Нософор» (Nosophoros), что в переводе с греческого означает «носящий болезни». В публичной рекламе программы Гонсалес хвастался, что программы-вымогатели, созданные с помощью Thanos, почти не выявляются антивирусными программами и что «после завершения шифрования программа-вымогатель удаляет себя, делая обнаружение и восстановление почти невозможными для жертвы».

В приватных беседах с клиентами Гонсалес объяснял, как развертывать свои продукты для вымогателей – как составить записку с требованием выкупа, украсть пароли с компьютеров-жертв и установить биткоин-адрес для выплаты выкупа. Помимо этого, он объяснял им все тонкости работы своего ПО.

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО
Безопасность

Клиенты Гонсалеса положительно оценили его продукцию. В июле 2020 г. один человек опубликовал сообщение, восхваляющее Таноса, написав: «Я купил программу-вымогатель у Nosophoros, и она очень мощная». Он добавил, что использовал софт Гонсалеса для заражения сети примерно из 3000 компьютеров.

В декабре 2020 г. другой пользователь написал пост на русском языке: «Работаем с этим продуктом уже больше месяца, имеем хорошую прибыль! Лучшая поддержка, которую я встречал».

Потенциальный переезд в тюрьму

Американские власти начали выслеживать Гонсалеса весной 2020 г. В первых числах мая 2020 г. сотрудник ФБР под прикрытием вышел с ним на связь и стал обсуждать подключение к его «партнерской» программе. Хакер отказал, но предложил купить у него лицензию.

Расследование шло два года, все его аспекты Минюст пока не раскрывает. Известно лишь, что к началу мая 2022 г. сотрудники ФБР уже вычислили связь Гонсалеса с Thanos. Они опросили одного из его родственников, проживающего во Флориде (США), чей счет в сети PayPal Гонсалес использовал для получения незаконных доходов. Этот родственник подтвердил, что Гонсалес проживает в Венесуэле, и что программированию он обучился самостоятельно.

Тот же родственник согласился предоставить агентам ФБР контактную информацию Гонсалеса в своем телефоне. Она совпала с зарегистрированным адресом электронной почты для вредоносной инфраструктуры, связанной с Thanos.

В настоящее время создателю Thanos грозит тюремный срок. Его могут посадить на 10 лет – до пяти лет он может получить за попытку взлома компьютера, и еще столько же – за сговор с целью взлома компьютера.