Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Кадры

Создателем прогремевших на весь мир троянов оказался пожилой законопослушный врач-кардиолог

Власти США выявили разработчика вредоносных программ Jigsaw и Thanos, получивших широкое распространение в конце прошлого десятилетия. Им оказался 55-летний кардиолог из Венесуэлы. Со слов его родственников, программированию он обучился самостоятельно. Свое ПО он продавал и даже лицензировал одним хакерам, а другие получали его бесплатно в обмен на часть прибыли от атак.

Хакер под маской врача

Министерство юстиции США сегодня обвинило 55-летнего гражданина Венесуэлы Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) в создании нашумевших вирусов-вымогателей, пишет портал Bleeping Computer. По утверждению представителей ведомства, именно он ответственен за создание шифровальщиков Jigsaw и Thanos.

В документах американского Минюста указано, что Гонсалес, работающий кардиологом имеющий двойное гражданство (Венесуэла и Франция) не стал ограничиваться одной лишь разработкой Jigsaw и Thanos. По утверждению властей, он продавал и лицензировал их другим хакерам, а также предлагал им свои услуги по техподдержке малварей и обучению их использованию.

Дополнительным гонораром Гонсалеса, по информации Минюста, являлась часть выкупа, который получали хакеры от своих жертв. В киберпреступном сообществе кардиолог был известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar.

В пожилом докторе едва ли можно заподозрить талантливого киберпреступника

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти (Thanos – в честь Tanatos олицетворения смерти в греческой мифологии – прим. CNews), а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаках, в том числе со стороны злоумышленников, связанных с правительством Ирана», а – заявил прокурор США Брион Пис (Breon Peace).

Творения Гонсалеса

Jigsaw – это первое творение кардиолога, проживающего в Сьюдад-Боливаре (Венесуэла). По данным Bleeping Computer, этот вымогатель не проявлял активность с осени 2021 г., хотя и до этого он использовался нечасто, в том числе и потому, что для него существует бесплатный дешифровщик. Что вдохновило Гонсалеса назвать свой продукт именно так, остается неизвестным. Не исключено, что это отсылка к фильмам серии «Пила» (Jigsaw). Также это может быть связано с популярным видом головоломок jigsaw puzzle, в России известным просто как «пазл».

На основе оригинального Jigsaw, по данным Минюста США, хакер разработал Jigsaw 2.0, в который встроил так называемый счетчик «судного дня» (Doomsday counter). Он отслеживал, сколько раз пользователь пытался уничтожить программу-вымогатель на своем ПК. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жесткий диск», – приводят представители Минюста цитату из описания к вредоносу.

Во второй половине 2019 г. Гонсалес начал рекламировать свой новый продукт – Thanos. Вероятно, название является отсылкой к одноименному злодею из вселенной Marvel, который уничтожил половину всего живого во Вселенной. Имя персонажа является выводом из имени Танатос, олицетворения смерти в греческой мифологии.

Thanos представляет собой своего рода конструктор по созданию программ-вымогателей. С его помощью хакеры могут создавать собственные вредоносы для дальнейшего использования или предоставления в аренду другим киберпрестуникам. Thanos распространялся по модели Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS)

Схема заработка

Гонсалес разработал целую схему монетизации своих вредоносов, которую наиболее успешно применял с Thanos. Он предложил всем интересующимся два способа заполучить его продукт.

Первый подразумевал покупку «лицензии» на использование Thanos. Такая лицензия имела свой срок действия, а в сам конструктор был встроен скрипт, в котором прописаны алгоритмы фонового подключения к специальному серверу для проверки действительности лицензии. Сервер размещался в Шарлотте (Северная Каролина, США). Стоимость базовой лицензии составляла $500 (31,8 тыс. руб. по курсу ЦБ на 18 мая 2022 г.). Она подразумевала лишь ограниченный набор возможностей конструктора. За $800 (50,8 тыс. руб.) клиенты получали доступ ко всем функциям Thanos.

Второй способ сам Гонсалес называл «партнерской программой». Хакер открывал желающим доступ к Thanos в обмен на часть выкупа. Расплачиваться с ним можно было как фиатными деньгами, так и криптовалютой, включая Monero и Bitcoin.

Максимальная клиент-ориентированность

Гонсалес продвигал Thanos на различных онлайн-форумах, часто посещаемых киберпреступниками, используя псевдонимы, отсылающие к греческой мифологии. Двумя его любимыми прозвищами были «Эскулап» (Aesculapius), относящееся к древнегреческому богу медицины, и «Нософор» (Nosophoros), что в переводе с греческого означает «носящий болезни». В публичной рекламе программы Гонсалес хвастался, что программы-вымогатели, созданные с помощью Thanos, почти не выявляются антивирусными программами и что «после завершения шифрования программа-вымогатель удаляет себя, делая обнаружение и восстановление почти невозможными для жертвы».

В приватных беседах с клиентами Гонсалес объяснял, как развертывать свои продукты для вымогателей – как составить записку с требованием выкупа, украсть пароли с компьютеров-жертв и установить биткоин-адрес для выплаты выкупа. Помимо этого, он объяснял им все тонкости работы своего ПО.

Клиенты Гонсалеса положительно оценили его продукцию. В июле 2020 г. один человек опубликовал сообщение, восхваляющее Таноса, написав: «Я купил программу-вымогатель у Nosophoros, и она очень мощная». Он добавил, что использовал софт Гонсалеса для заражения сети примерно из 3000 компьютеров.

В декабре 2020 г. другой пользователь написал пост на русском языке: «Работаем с этим продуктом уже больше месяца, имеем хорошую прибыль! Лучшая поддержка, которую я встречал».

Потенциальный переезд в тюрьму

Американские власти начали выслеживать Гонсалеса весной 2020 г. В первых числах мая 2020 г. сотрудник ФБР под прикрытием вышел с ним на связь и стал обсуждать подключение к его «партнерской» программе. Хакер отказал, но предложил купить у него лицензию.

Расследование шло два года, все его аспекты Минюст пока не раскрывает. Известно лишь, что к началу мая 2022 г. сотрудники ФБР уже вычислили связь Гонсалеса с Thanos. Они опросили одного из его родственников, проживающего во Флориде (США), чей счет в сети PayPal Гонсалес использовал для получения незаконных доходов. Этот родственник подтвердил, что Гонсалес проживает в Венесуэле, и что программированию он обучился самостоятельно.

Тот же родственник согласился предоставить агентам ФБР контактную информацию Гонсалеса в своем телефоне. Она совпала с зарегистрированным адресом электронной почты для вредоносной инфраструктуры, связанной с Thanos.

В настоящее время создателю Thanos грозит тюремный срок. Его могут посадить на 10 лет – до пяти лет он может получить за попытку взлома компьютера, и еще столько же – за сговор с целью взлома компьютера.

Короткая ссылка