Actualidad

EEUU acusó a médico venezolano por diseño y venta de programas de hackeo a organizaciones criminales

1.638 Vistas
EEUU acusó a médico venezolano por diseño y venta de programas de hackeo a organizaciones criminales

Moisés Zagala, un cardiólogo de 55 años residente en Ciudad Bolívar, Venezuela, diseñó y vendió múltiples herramientas que vendía a ciberdelincuentes a quienes entrenaba para extorsionar empresas. Entre sus clientes estaban grupos del régimen iraní que atacaron estructuras del gobierno de Israel.

Redacción | Primer Informe

Una denuncia penal fue revelada hoy en una corte federal en Brooklyn, Nueva York, acusando a Moisés Luis Zagala González, también conocido como “Nosophoros”, “Esculapio” y “Nabucodonosor”, un ciudadano de franco venezolano que reside en Venezuela, por intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas.

Los cargos se derivan del uso y la venta de ransomware por parte de Zagala, así como de su amplio apoyo y acuerdos de participación en las ganancias con los ciberdelincuentes que usaron sus programas de ransomware.

Breon Peace, Fiscal Federal para el Distrito Este de Nueva York, y Michael J. Driscoll, Subdirector a Cargo, Oficina Federal de Investigaciones, Oficina de Campo de Nueva York (FBI), anunciaron los cargos.

“Como se alega, el médico (…) se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó sobre ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, declaró el Fiscal Federal Peace.

«Alegamos que Zagala no solo creó y vendió productos de ransomware a piratas informáticos, sino que también los capacitó en su uso», declaró el subdirector a cargo Driscoll.

Tal como se le acusa en la denuncia penal, Zagala, un cardiólogo de 55 años que reside en Ciudad Bolívar, Venezuela, ha diseñado múltiples herramientas de ransomware, un software malicioso que los ciberdelincuentes utilizan para extorsionar a empresas, organizaciones sin fines de lucro y otras instituciones mediante el cifrado de esos archivos y luego exigiendo un rescate por las claves de descifrado. Zagala vendió o alquiló su software a piratas informáticos que lo utilizaron para atacar redes informáticas.

Uno de los primeros productos de Zagala, una herramienta de ransomware llamada «Jigsaw v.2», tenía, en la descripción de Zagala, un contador «Doomsday» que registraba cuántas veces el usuario había intentado erradicar el ransomware. Zagala escribió: «Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro».

A fines de 2019, Zagala comenzó a anunciar una nueva herramienta en línea: un «Generador privado de ransomware» al que llamó «Thanos». El nombre del software parece ser una referencia a un villano ficticio de dibujos animados llamado Thanos, responsable de destruir la mitad de toda la vida en el universo, así como una referencia a la figura «Thanatos» de la mitología griega, que está asociado con muerte.

El software de Thanos permitió a sus usuarios crear su propio software de ransomware único, que luego podían usar o alquilar para que lo usaran otros ciberdelincuentes. La interfaz de usuario del software Thanos se muestra a continuación:

La captura de pantalla muestra, en el lado derecho, un área para «Información de recuperación», en la que el usuario puede crear una nota de rescate personalizada. Otras opciones incluyen un «ladrón de datos» que especifica los tipos de archivos que el programa ransomware debería robar de la computadora de la víctima, una opción «anti-VM» para vencer los entornos de prueba utilizados por los investigadores de seguridad y una opción, como se anuncia, para hacer que el programa de ransomware se «autoelimine».

En lugar de simplemente vender el software de Thanos, Zagala permitió que las personas lo pagaran de dos maneras. Primero, un criminal podría comprar una “licencia” para usar el software por un cierto período de tiempo. El software de Thanos fue diseñado para hacer contacto periódico con un servidor en Charlotte, Carolina del Norte que Zagala controlaba con el fin de confirmar que el usuario tenía una licencia activa. Alternativamente, un cliente de Thanos podría unirse a lo que Zagala llamó un «programa de afiliados», en el que proporcionó acceso de usuario al constructor de Thanos a cambio de una parte de las ganancias de los ataques de Ransomware. Zagala recibió el pago tanto en moneda fiduciaria como en criptomoneda, incluidos Monero y Bitcoin.

Zagala publicitó el software de Thanos en varios foros en línea frecuentados por ciberdelincuentes, utilizando nombres de pantalla que hacían referencia a la mitología griega. Sus dos apodos preferidos eran «Esculapio», en referencia al antiguo dios griego de la medicina, y «Nosophoros», que significa «portador de enfermedades» en griego.

En los anuncios públicos del programa, Zagala se jactaba de que el ransomware creado con Thanos era casi indetectable para los programas antivirus y que «una vez que se realizaba el cifrado», el ransomware se «borraría solo», haciendo que la detección y la recuperación fueran «casi imposibles» para la víctima.

En chats privados con los clientes, Zagala les explicó cómo implementar sus productos de ransomware: cómo diseñar una nota de rescate, robar contraseñas de las computadoras de las víctimas y establecer una dirección de Bitcoin para pagos de rescate. Como explicó Zagala a un cliente, hablando de Jigsaw: «La víctima 1 paga en la dirección btc [Bitcoin] dada y descifra sus archivos». Zagala también señaló que “hay un castigo… [si] el usuario reinicia. Por cada repetición, lo castigará con 1000 archivos eliminados”. Después de que Zagala explicara todas las características del software, el cliente respondió: “Señor, realmente necesito decir esto… Eres el mejor desarrollador de todos los tiempos”. Zagala respondió: «Gracias, es bueno escucharlo. Estoy muy halagado y orgulloso». Zagala solo tenía una solicitud: «Si tiene tiempo y no es demasiado problema para usted, describa su experiencia conmigo» en una reseña en línea.

Aproximadamente el 1 de mayo de 2020, una fuente humana confidencial del FBI (CHS-1) discutió unirse al «programa de afiliados» de Zagala. Zagala respondió: “No por ahora. No tenga espacios». Pero Zagala ofreció licenciar el software a CHS-1 por $500 al mes con «opciones básicas» u $800 con «opciones completas».

El 7 de octubre de 2020 o alrededor de esa fecha, CHS-1 le preguntó a Zagala cómo establecer un programa de afiliados propio usando Thanos. Zagala respondió con un breve tutorial sobre cómo configurar un equipo de ransomware. Explicó que CHS-1 debería encontrar personas «versadas… en la piratería de LAN (Local Area Network)» y proporcionarles una versión del ransomware Thanos que estaba programada para expirar después de un período de tiempo determinado. Zagala dijo que personalmente tenía “un máximo de entre 10 y 20” afiliados en un momento dado, y “a veces solo 5”. Agregó que los piratas informáticos se acercaron a él en busca de su software después de haber obtenido acceso a la red de una víctima: “vienen con acceso a big LAN, compruebo y luego acepto; bloquean varias redes grandes y esperamos… Si bloqueas redes sin cinta ni nube (copias de seguridad), casi todas pagan.”

Zagala explicó además que, a veces, la red de una víctima resultó tener una copia de seguridad inesperada: “así que no tiene sentido bloquearla porque tienen copias de seguridad, así que en ese caso solo extraemos datos”, refiriéndose al robo de información de la víctima. Zagala agregó además que tenía un asociado que «sabe cómo corromper cintas», es decir, copias de seguridad, y cómo «deshabilitar AV», es decir, software antivirus. Finalmente, Zagala ofreció darle a CHS-1 dos semanas adicionales gratis después de que caducara la licencia de un mes de CHS-1, y explicó que «porque 1 mes es muy poco para este negocio… a veces es necesario trabajar mucho para obtener buenas ganancias».

Los clientes de Zagala calificaron favorablemente sus productos. Una persona publicó un mensaje elogiando a Thanos en julio de 2020, escribiendo: «Compré el ransomware de nosophoros y es muy poderoso», afirmando que había usado el ransomware de Zagala para infectar una red de aproximadamente 3000 computadoras. Y, en diciembre de 2020, otro usuario escribió una publicación en ruso: “Hemos estado trabajando con este producto durante más de un mes, ¡tenemos una buena ganancia! El mejor apoyo que he conocido”. Zagala ha discutido públicamente su conocimiento de que sus clientes usaron su software para cometer ataques de ransomware, incluido un enlace a una noticia sobre el uso de Thanos por parte de un grupo de piratería patrocinado por el estado iraní para atacar a empresas israelíes.

Alrededor de noviembre de 2021, Zagala comenzó a usar un tercer nombre de pantalla: «Nabucodonosor». En chats con una segunda fuente confidencial del FBI (CHS-2), Zagala declaró que había cambiado de alias para preservar la «OPSEC… seguridad operativa» porque «los analistas de malware están sobre mí».

El 3 de mayo de 2022 o alrededor de esa fecha, los agentes encargados de hacer cumplir la ley realizaron una entrevista voluntaria a un pariente de Zagala que reside en Florida y cuya cuenta de PayPal fue utilizada por Zagala para recibir ganancias ilícitas. El individuo confirmó que Zagala reside en Venezuela y se había hecho autodidacta en programación informática. El individuo también mostró a los agentes la información de contacto de Zagala en su teléfono que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada con el malware de Thanos.

Si es declarado culpable, el acusado enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

Con información del Departamento de Justicia de Estados Unidos.

 

Si quieres recibir en tu celular esta y otras noticias de Venezuela y el mundo descarga Telegram, ingresa al link https://t.me/primerinforme y dale click a +Unirme.

 

Si te gustó la nota compártela
Más noticias de o similares.
Últimas Noticias: