Un cardiólogo de Ciudad Bolívar, Venezuela fue acusado por el gobierno de los Estados Unidos de ser un pirata informático y de haber diseñado un sistema de secuestro de datos (ransomware) patrocinado por el estado de Irán.
Según los investigadores federales, Zagala vendió y alquiló las herramientas de ransomware a los ciberdelincuentes a partir de 2019 y les enseñó a los estafadores cómo usar los programas.
La demanda, revelada hoy en la Corte Federal de Brooklyn en la ciudad de Nueva York, dice que el médico venezolano diseñó el software con el «contador del fin del mundo», compartió las ganancias de los ataques de ransomware y se jactó del uso por parte de un grupo de piratería patrocinado por la República Islámica de Irán.
Moisés Luis Zagala González, también conocido como “Nosophoros”, “Esculapio” y “Nabucodonosor”, es un ciudadano franco-venezolano que reside en Venezuela, que fue acusado de realizar intrusiones informáticas y de conspirar para cometer intrusiones informáticas.
Los cargos contra Zagala González se derivan del uso y la venta del software, así como de su amplio apoyo y acuerdos de participación en las ganancias con los ciberdelincuentes que usaron sus programas de ransomware.
La denuncia penal, Zagala dice que el cardiólogo que reside en Ciudad Bolívar, Venezuela, diseñó múltiples herramientas de ransomware, un software malicioso que los ciberdelincuentes utilizan para extorsionar a empresas, organizaciones sin fines de lucro y otras instituciones mediante el cifrado de esos archivos, y luego exigiendo un rescate por las claves de descifrado.
«Zagala vendió o alquiló su software a piratas informáticos que lo utilizaron para atacar redes informáticas», advierte la acusación.
Uno de los primeros productos de Zagala, fue la cepa de una herramienta de ransomware llamada «Jigsaw v. 2», tenía, en la descripción de Zagala, un contador «Doomsday» que registraba cuántas veces el usuario había intentado erradicar el ransomware. Zagala escribió: «Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro».
A fines de 2019, Zagala comenzó a anunciar una nueva herramienta en línea: un «Generador privado de ransomware» al que llamó «Thanos». El nombre del software, dice los documentos federales, parece ser una referencia a un villano ficticio de dibujos animados llamado Thanos, responsable de destruir la mitad de toda la vida en el universo, así como una referencia a la figura «Thanatos» de la mitología griega, que está asociado con muerte.
El software de Thanos permitió a sus usuarios crear su propio software de ransomware único, que luego podían usar o alquilar para que lo usaran otros ciberdelincuentes. La interfaz de usuario del software Thanos se muestra a continuación.
La captura de pantalla muestra, en el lado derecho, un área para «Información de recuperación», en la que el usuario puede crear una nota de rescate personalizada. Otras opciones incluyen un «ladrón de datos» que especifica los tipos de archivos que el programa ransomware debe robar de la computadora de la víctima, una opción «anti-VM» para vencer los entornos de prueba utilizados por los investigadores de seguridad y una opción, como se anuncia, para hacer que el programa de ransomware se «autoelimine».
En lugar de simplemente vender el software de Thanos, Zagala permitió que las personas lo pagaran de dos maneras. Primero, un criminal podría comprar una “licencia” para usar el software por un cierto período de tiempo.
El software de Thanos fue diseñado para hacer contacto periódico con un servidor en Charlotte, Carolina del Norte que Zagala controlaba con el fin de confirmar que el usuario tenía una licencia activa.
Alternativamente, un cliente de Thanos podría unirse a lo que Zagala llamó un «programa de afiliados», en el que proporcionó acceso de usuario al constructor de Thanos a cambio de una parte de las ganancias de los ataques de Ransomware.
Zagala recibió el pago tanto en moneda fiduciaria como en criptomoneda, incluidos Monero y Bitcoin.
Zagala publicitó el software de Thanos en varios foros en línea frecuentados por ciberdelincuentes, utilizando nombres de pantalla que hacían referencia a la mitología griega.
Sus dos apodos preferidos de Zagala eran «Esculapio», en referencia al antiguo dios griego de la medicina, y «Nosophoros», que significa «portador de enfermedades» en griego. En los anuncios públicos del programa, Zagala se jactaba de que el ransomware creado con Thanos era casi indetectable para los programas antivirus y que «una vez que se realizaba el cifrado», el ransomware se «borraría solo», haciendo que la detección y la recuperación fueran «casi imposibles» para la víctima.
En chats privados con los clientes, Zagala les explicó cómo implementar sus productos de ransomware: cómo diseñar una nota de rescate, robar contraseñas de las computadoras de las víctimas y establecer una dirección de Bitcoin para pagos de rescate.
Zagala explicó a un cliente, hablando de Jigsaw: «La víctima 1 paga en la dirección btc [Bitcoin] dada y descifra sus archivos», dice la demanda.
Zagala también señaló que “hay un castigo… [si] el usuario reinicia. Por cada repetición, lo castigará con 1000 archivos eliminados”. Después de que Zagala explicara todas las características del software, el cliente respondió: “Señor, realmente necesito decir esto. . . Eres el mejor desarrollador de todos los tiempos”.
Zagala respondió: «Gracias, es bueno escucharlo [.] Estoy muy halagado y orgulloso».
Zagala solo tenía una solicitud: «Si tiene tiempo y no es demasiado problema para usted, describa su experiencia conmigo» en una reseña en línea.
El FBI entra en acción
Aproximadamente el 1 de mayo de 2020, una fuente humana confidencial del FBI (CHS-1) discutió unirse al «programa de afiliados» de Zagala.
Zagala respondió: “No por ahora. No tenga manchas. Pero Zagala ofreció licenciar el software a CHS-1 por $500 al mes con «opciones básicas» u $800 con «opciones completas».
El 7 de octubre de 2020 o alrededor de esa fecha, CHS-1 le preguntó a Zagala cómo establecer un programa de afiliados propio usando Thanos. Zagala respondió con un breve tutorial sobre cómo configurar un equipo de ransomware.
El cardiólogo explicó que CHS-1 debería encontrar personas «versadas… en la piratería de LAN» y proporcionarles una versión del ransomware Thanos que estaba programada para expirar después de un período de tiempo determinado.
Zagala dijo que personalmente tenía “un máximo de entre 10 y 20” afiliados en un momento dado, y “a veces solo 5”. Agregó que los piratas informáticos se acercaron a él en busca de su software después de haber obtenido acceso a la red de una víctima: “vienen con acceso a [big] LAN, compruebo y luego acepto [.] bloquean varias redes grandes y esperamos… Si bloqueas redes sin cinta ni nube (copias de seguridad)[,] casi todas pagan[.]”
Zagala explicó además que, a veces, la red de una víctima resultó tener una copia de seguridad inesperada: “así que no tiene sentido bloquearla porque tienen copias de seguridad, así que en ese caso solo extraemos datos”, refiriéndose al robo de información de la víctima.
En la demanda se señala que el acusado agregó a sus clientes que tenía un asociado que «sabe cómo corromper cintas», es decir, copias de seguridad, y cómo «deshabilitar [] AV», es decir, software antivirus.
Finalmente, Zagala ofreció darle a CHS-1 dos semanas adicionales gratis después de que caducara la licencia de un mes de CHS-1, y explicó que «porque 1 mes es muy poco para este negocio… a veces es necesario trabajar mucho para obtener buenas ganancias».
Los clientes de Zagala calificaron favorablemente sus productos. Una persona publicó un mensaje elogiando a Thanos en julio de 2020, escribiendo «Compré el ransomware de nosophoros y es muy poderoso» y afirmando que había usado el ransomware de Zagala para infectar una red de aproximadamente 3000 computadoras.
En diciembre de 2020, otro usuario escribió una publicación en ruso: “Hemos estado trabajando con este producto durante más de un mes, ¡tenemos una buena ganancia! El mejor apoyo que he conocido.”
Zagala discutió públicamente su conocimiento de que sus clientes usaron su software para cometer ataques de ransomware, incluido un enlace a una noticia sobre el uso de Thanos por parte de un grupo de piratería patrocinado por el estado iraní para atacar a empresas israelíes.
Alrededor de noviembre de 2021, Zagala seguía usando un tercer nombre de pantalla: «Nabucodonosor». En chats, con una segunda fuente confidencial del FBI (CHS-2), Zagala declaró que había cambiado de alias para preservar la «OPSEC… seguridad operativa» porque «los analistas de malware están sobre mí».
El 3 de mayo de 2022 o alrededor de esa fecha, los agentes encargados de hacer cumplir la ley realizaron una entrevista voluntaria a un pariente de Zagala que reside en Florida y cuya cuenta de PayPal fue utilizada por Zagala para recibir ganancias ilícitas.
El individuo confirmó que Zagala reside en Venezuela y se había formado en programación informática de manera autodidacta. El sujeto también mostró a los agentes, la información de contacto de Zagala en su teléfono que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada con el malware de Thanos.
Si es declarado culpable, el acusado enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.
Este caso está siendo manejado por la Sección de Seguridad Nacional y Delitos Cibernéticos.
Los fiscales federales adjuntos David K. Kessler y Alexander F. Mindlin están a cargo de la acusación.