Departemen Kehakiman AS pada hari Senin menuduh seorang ahli jantung berusia 55 tahun dari Venezuela menjadi dalang di balik ransomware Thanos, menuduhnya menggunakan dan menjual alat berbahaya tersebut dan mengadakan pengaturan pembagian keuntungan.
Moises Luis Zagala Gonzalez, juga dikenal dengan julukan Nosophoros, Aesculapius, dan Nebuchadnezzar, diduga telah mengembangkan dan memasarkan ransomware ke penjahat dunia maya lainnya untuk memfasilitasi penyusupan dan mendapatkan bagian dari pembayaran bitcoin.
Jika terbukti bersalah, Zagala menghadapi hukuman lima tahun penjara karena percobaan penyusupan komputer, dan lima tahun penjara karena konspirasi untuk melakukan penyusupan komputer.
“Dokter multi-tugas merawat pasien, membuat dan menamai alat sibernya setelah kematian, mengambil keuntungan dari ekosistem ransomware global di mana dia menjual alat untuk melakukan serangan ransomware, melatih penyerang tentang cara memeras korban, dan kemudian membual tentang serangan yang berhasil , termasuk oleh aktor jahat yang terkait dengan pemerintah Iran,” kata pengacara AS Breon Peace.
Skema ransomware-as-a-service (RaaS) melibatkan enkripsi file milik perusahaan, entitas nirlaba, dan institusi lain, dan kemudian menuntut tebusan sebagai ganti kunci dekripsi.
Pada intinya, Thanos adalah pembuat ransomware pribadi yang memungkinkan pembelinya (alias afiliasi) untuk membuat perangkat lunak ransomware kustom mereka sendiri, yang kemudian dapat mereka gunakan atau sewa ke aktor lain, secara efektif memperluas cakupan serangan.
Analisis oleh Recorded Future pada Juni 2020 mengungkapkan bahwa pembuatnya hadir dengan 43 opsi konfigurasi yang berbeda, menyebutnya sebagai keluarga ransomware pertama yang memanfaatkan teknik RIPlace untuk mem-bypass fitur perlindungan ransomware yang ada di dalam Windows 10.
Opsi yang tersedia termasuk kemampuan untuk memodifikasi catatan tebusan, menentukan daftar jenis file yang akan dieksfiltrasi sebelum enkripsi, dan pengaturan untuk menghindari deteksi dan menghapus sendiri ransomware setelah eksekusi.
Zagala diyakini telah mengiklankan perangkat lunak tersebut di forum kejahatan dunia maya darknet seharga $500 per bulan dengan “opsi dasar” atau $800 dengan “opsi penuh”, sementara juga merekrut afiliasi untuk program RaaS.
“Pada atau sekitar 1 Mei 2020, sumber rahasia FBI (CHS-1) membahas bergabung dengan ‘program afiliasi’ Zagala,” kata DoJ. “Zagala menjawab: ‘Tidak untuk saat ini. Tidak ada tempat,” sebelum melanjutkan untuk melisensikan perangkat lunak ke CHS-1 dan membantu informan dengan tutorial tentang cara menggunakan perangkat lunak dan menyiapkan kru afiliasi.
Zagala, yang menerima ulasan yang baik untuk alat ransomware-nya, akhirnya dilacak pada 3 Mei 2022, setelah mengidentifikasi akun PayPal milik kerabatnya yang tinggal di negara bagian Florida AS dan yang digunakan untuk mendapatkan hasil ilegal.
“Orang tersebut mengkonfirmasi bahwa Zagala tinggal di Venezuela dan telah belajar sendiri pemrograman komputer,” kata DoJ.