Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Maggio 2022 14:45
Attenzione: le apparenze possono ingannare.
La giustizia americana ha appena rivelato un procedimento penale in corso in un caso di criminalità informatica contro un cardiologo franco-venezuelano.
A mille miglia dalla medicina, il dottor Moises Luis Zagala, un uomo di 55 anni che vive a Ciudad Bolivar in Venezuela, è sospettato di essere il creatore di due ransomware, Jigsaw v.2 e Thanos.
Il primo malware imperversava dal 2016, mentre il secondo era apparso all’inizio del 2020.
Supporta Red Hot Cyber attraverso
Come notato dai ricercatori dell’Unità 42 di Palo Alto, Thanos ha permesso agli hacker malintenzionati di costruire il proprio ransomware: secondo Recorded Future, Prometheus, Haron o Hackbit dovrebbero essere dei suoi derivati.
L’FBI è stata in grado di contare almeno 38 licenze di Thanos che comunicano con il server di comando e controllo situato nella Carolina del Nord. L’ufficio federale ha anche riportato nell’atto d’accusa che un post attribuito a un acquirente su un forum di criminali informatici probabilmente si riferiva a una rete di 3.000 computer infetti.
Il malware è stato infine utilizzato da un gruppo di hacker vicino allo stato iraniano, secondo le dichiarazioni dell’intervistato, probabilmente su un forum, riportato dal sistema giudiziario americano.
Per l’FBI il cardiologo sarebbe un informatico veterano già attivo nella clandestinità nel 1997. In più di vent’anni, il medico si era specializzato in reverse engineering fino al deploy di malware e allo sviluppo dei ransomware.
A sostegno di questa accusa, gli inquirenti hanno accumulato numerosi indizi.
Innanzitutto, per la cronaca, una variante di Jigsaw aveva rivelato un percorso ad albero di file contenente un riferimento a “Moises“, informazione individuata da un’azienda tedesca.
Il cardiologo era presente su diversi forum di cybercriminali, sotto gli pseudonimi “Aesculapius”, “Nebuchadnezzar” o addirittura “Nosophoros” e avrebbe attivato, secondo l’FBI, una promozione del suo malware nelle underground.
Una conversazione WhatsApp registrata a giugno 2019 in un’e-mail fa riferimento a Jigsaw ransomware. Un altro post di luglio 2019 conteneva l’indirizzo Monero di un portafoglio di criptovalute controllato da Nosophoros.
Dopo aver acquistato una copia di Thanos, l’investigatore incaricato del dossier è riuscito a identificare un altro crypto wallet del venditore, riferendosi anche lì, a seconda della piattaforma utilizzata, al cardiologo.
Infine, anche un hacker malintenzionato pentito ha collaborato con gli investigatori fingendo di essere interessato al programma di affiliazione.
Ciò ha permesso all’FBI di seguire nuovi scambi molto istruttivi.
È vero che, come osserva la CNN, sembra improbabile che il sospetto venga estradato dal Venezuela negli Stati Uniti. Ma l’annuncio dell’incriminazione del cardiologo è anche un modo per fare pressione sull’indagato.
I suoi viaggi internazionali sono ora fortemente limitati. Infatti il ceppo Thanos al momento non è più supportato e attivo da febbraio secondo The Bleeping computer.
RedazioneRedazione: redazione@redhotcyber.com
© Copyright RED HOT CYBER. PIVA 16821691009
