Phát hiện một bác sĩ tim mạch ngày cầm dao mổ đêm code ransomware

Bộ Tư pháp Mỹ vừa thông báo về cáo buộc Moises Luis Zagala Gonzalez (Zagala) là cha đẻ của hai ransomware Jigsaw và Thanos. Đáng chú ý, ông Zagala, 55 tuổi, hiện đang là một bác sĩ tim mạch. Ông này phát triển ransomware nhưng không tự phát tán mà cho tội phạm mạng thuê lại.

Zagala (hay còn được biết đến với biệt danh Nosophoros, Aesculapius và Nebuchadezzar) mang quốc tịch Pháp và Venezuela. Hiện tại, ông ta đang cư trú tại Ciudad Bolivar, Venezuela. Sau khi cho thuê hoặc bán ransomware, Zagala vẫn duy trì sự hỗ trợ cho tội phạm mạng khi có các vấn đề xảy ra. Ông ta sẽ được chia một khoản lợi nhuận nhất định từ hoạt động phát tán ransomware.

"Cáo buộc chỉ rõ rằng ông bác sĩ đa tài này ban ngày thì điều trị cho bệnh nhân nhưng tối đến lại cặm cụi viết ransomware. Ông ta thu lợi bất chính từ hệ sinh thái ransomware của mình trên toàn cầu. Ông ta bán, cho thuê công cụ để tiến hành các cuộc tấn công ransomware, huấn luyện tội phạm mạng về cách tống tiền nạn nhân...", một vị Tổng chưởng lý Hoa Kỳ Breon Peace chia sẻ.

"Chúng tôi cáo buộc Zagala không chỉ tạo ra và bán các ransomware cho hacker mà ông ta còn đào tạo chúng cách sử dụng", Trợ lý Giám đốc phụ trách Driscoll chia sẻ thêm.

Ransomware Jigsaw nổi bật ở chỗ nó tích hợp một bộ đếm ngược "Doomsday". Cứ mỗi tiếng, nó sẽ xóa một lượng file nhất định khỏi ổ cứng của nạn nhân cho tới khi họ trả tiền chuộc, số lượng tệp bị xóa sẽ tăng lên sau mỗi lần xóa.

Kể từ mùa thu năm 2021 tới nay Jigsaw không còn hoạt động nữa. Hãng Emsisoft cũng đã cung cấp một bộ giải mã cho ransomware Jigsaw.

Trong khi đó, Thanos được xác định là một dịch vụ ransomware cho thuê (Ransomware-as-a-Service) ngay từ đầu. Nó được quảng cáo rầm rộ trên các diễn đàn hacker nói tiếng Nga. Các đại lý phân phối Thanos có khả năng tùy chỉnh ransomware này theo ý của họ bằng trình tạo do nhà phát triển cung cấp.

Thanos còn được biết đến với những cái tên khác như Prometheus, Haron hoặc Hakbit.

Tháng 5/2022, các nhân viên thực thi pháp luật đã tìm ra liên kết của Zagala với các hoạt động ransomware của Thanos sau khi phỏng vấn một trong những người thân của ông ta. Người bà con này vừa nhận hộ một khoản tiền thu lợi bất chính từ các hoạt động ransomware của Zagala bằng tài khoản PayPal.

Thậm chí, người bà con này còn cho nhân viên thực thi pháp luật xem các thông tin liên lạc được lưu trữ trong điện thoại của anh ta. Các thông tin này trước đó được dùng để đăng ký một cơ sở hạ tầng triển khai ransomware Thanos.

Nếu bị kết tội và bị dẫn độ sang Mỹ, Zagala sẽ phải đối mặt với 5 năm tù cho tội truy cập  máy tính trái phép và 5 năm tù khác cho tôi âm mưu xâm nhập máy tính.