Un pirata venezolano informático fue acusado por la Fiscalía del Distrito de Nueva York

Francisco Olivares

El ciberpirata es un médico venezolano a quien el FBI le seguía los pasos desde hace unos años y quien diseñó un ransomware malicioso para robar información, patrocinado por Irán.

Se trata del médico, Moisés Luis Zagala, quien vive en Ciudad Bolívar, Venezuela quien diseñó un software para el robo de datos al que llamó "contador del fin del mundo". El ransomware lo alquiló y vendió a organizaciones de ciberdelincuentes a quienes entrenó y compartió las ganancias de los ataques.“ Zagala se jactó del uso por parte del grupo de piratería informática patrocinado por el estado iraní”. El médico venezolano fue acusado por el uso y venta del ransomware y de reparto de los beneficios con ciberdelincuentes.

La denuncia fue publicada el pasado 16 de mayo en las páginas del Departamento de Justicia de Estados Unidos, del Distrito de Nueva York. Los ransomwares son una forma de software malicioso que bloquea y cifra los datos de un dispositivo de la víctima y luego exige rescate para restaurar el acceso a los mismos. Debido al cifrado moderno es irrompible sin la clave de descifrado, obligando a la víctima a pagar el rescate para recuperar los datos.

La publicación de la Fiscalía de Nueva York explica que la denuncia penal fue revelada en la Corte Federal de Brooklyn, Nueva York, acusando a Moisés Luis Zagala González, conocido en los medios delictivos informáticos como “Nosophoros”, “Esculapio” y “Nabucodonosor”. Se trata de un ciudadano de Francia y Venezuela que reside en Venezuela. La acusación señala que en sus acciones hubo intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas. Los cargos se derivan del uso y la venta de ransomware por parte de Zagala, así como de su amplio apoyo y acuerdos de participación en las ganancias con los ciberdelincuentes que usaron sus programas de ransomware para extorsionar a las víctimas.

Breon Peace, Fiscal Federal para el Distrito Este de Nueva York, y Michael J. Driscoll, Subdirector a Cargo, Oficina Federal de Investigaciones, Oficina Local de Nueva York (FBI), quienes anunciaron los cargos indicaron que: el médico multitarea creó y nombró su herramienta cibernética “después de la muerte” y “se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de los ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, declaró el Fiscal Federal de Paz. “Combatir el ransomware es una de las principales prioridades del Departamento de Justicia y de esta Oficina. Si se beneficia del ransomware, lo encontraremos e interrumpiremos sus operaciones maliciosas”.

"Alegamos que Zagala no solo creó y vendió productos de ransomware a piratas informáticos, sino que también los capacitó en su uso. Nuestras acciones hoy evitarán que Zagala siga victimizando a los usuarios. Sin embargo, muchos otros delincuentes maliciosos están buscando empresas y organizaciones que no han tomado pasos para proteger sus sistemas, que es un paso increíblemente vital para detener el próximo ataque de ransomware", declaró el subdirector a cargo Driscoll.

Tal como se le acusa en la denuncia penal, Zagala, es un cardiólogo de 55 años que reside en Ciudad Bolívar, Venezuela, ha diseñado múltiples herramientas de ransomware, un software malicioso que los ciberdelincuentes utilizan para extorsionar a empresas, organizaciones sin fines de lucro y otras instituciones mediante el cifrado de esos archivos. y luego exigiendo un rescate por las claves de descifrado. Zagala vendió o alquiló su software a piratas informáticos que lo utilizaron para atacar redes informáticas.

Uno de los primeros productos de Zagala, una herramienta de ransomware llamada "Jigsaw v. 2", tenía, en la descripción de Zagala, un contador "Doomsday" que registraba cuántas veces el usuario había intentado erradicar el ransomware. Zagala escribió: "Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro".

A fines de 2019, Zagala comenzó a anunciar una nueva herramienta en línea: un "Generador privado de ransomware" al que llamó "Thanos". El nombre del software parece ser una referencia al supervillano Thanos que aparece en los cómics estadounidenses publicados por Marvel Comics, creado por el escritor y artista Jim Starlin y apareció por primera vez en The Invincible Iron Man, responsable de destruir la mitad de toda la vida en el universo. El software de Thanos permitió a sus usuarios crear su propio software de ransomware único, que luego podían usar o alquilar para que lo usaran otros ciberdelincuentes. La interfaz de usuario del software Thanos se muestra a continuación: ¹

Captura de pantalla del programa de Zagala

Fuente screenshot Sentinel Labs

La captura de pantalla muestra, en el lado derecho, un área para "Información de recuperación", en la que el usuario puede crear una nota de rescate personalizada. Otras opciones incluyen un "ladrón de datos" que especifica los tipos de archivos que el programa ransomware debería robar de la computadora de la víctima, una opción "anti-VM" para vencer los entornos de prueba utilizados por los investigadores de seguridad y una opción, como se anuncia, para hacer que el programa de ransomware se "autoelimine".

En lugar de simplemente vender el software de Thanos, Zagala permitió que las personas lo pagaran de dos maneras. Primero, un criminal podría comprar una “licencia” para usar el software por un cierto período de tiempo. El software de Thanos fue diseñado para hacer contacto periódico con un servidor en Charlotte, Carolina del Norte que controlaba Zagala con el fin de confirmar que el usuario tenía una licencia activa. Alternativamente, un cliente de Thanos podría unirse a lo que Zagala llamó un "programa de afiliados", en el que proporcionó acceso de usuario al constructor de Thanos a cambio de una parte de las ganancias de los ataques de Ransomware. Zagala recibió el pago tanto en moneda fiduciaria como en criptomonedas, incluidos Monero y Bitcoin.

Zagala publicitó el software de Thanos en varios foros en línea frecuentados por ciberdelincuentes, utilizando nombres de pantalla que hacían referencia a la mitología griega. Sus dos apodos preferidos eran "Esculapio", en referencia al antiguo dios griego de la medicina, y "Nosophoros", que significa "portador de enfermedades" en griego. En los anuncios públicos del programa, Zagala se jactaba de que el ransomware creado con Thanos era casi indetectable para los programas antivirus y que "una vez que se realizaba el cifrado", el ransomware se "borraría solo", haciendo que la detección y la recuperación fueran "casi imposibles" para la víctima.

En chats privados con los clientes, Zagala les explicó cómo implementar sus productos de ransomware: cómo diseñar una nota de rescate, robar contraseñas de las computadoras de las víctimas y establecer una dirección de Bitcoin para pagos de rescate. Como explicó Zagala a un cliente, hablando de Jigsaw: "La víctima 1 paga en la dirección btc [Bitcoin] dada y descifra sus archivos". Zagala también señaló que “hay un castigo… [si] el usuario reinicia. Por cada repetición, lo castigará con 1000 archivos eliminados”. Después de que Zagala explicara todas las características del software, el cliente respondió: “Señor, realmente necesito decir esto. . . Eres el mejor desarrollador de todos los tiempos”. Zagala respondió: "Gracias, es bueno escucharlo . Estoy muy halagado y orgulloso". Zagala solo tenía una solicitud: "Si tiene tiempo y no es demasiado problema para usted, describa su experiencia conmigo" en una reseña en línea.

Aproximadamente el 1 de mayo de 2020, una fuente humana confidencial del FBI (CHS-1) discutió unirse al "programa de afiliados" de Zagala. Zagala respondió: “No por ahora. No tenga manchas. Pero Zagala ofreció licenciar el software a CHS-1 por $500 al mes con "opciones básicas" u$800 con "opciones completas".

El 7 de octubre de 2020 o alrededor de esa fecha, CHS-1 le preguntó a Zagala cómo establecer un programa de afiliados propio usando Thanos. Zagala respondió con un breve tutorial sobre cómo configurar un equipo de ransomware. Explicó que CHS-1 debería encontrar personas "versadas... en la piratería de LAN ²" y proporcionarles una versión del ransomware Thanos que estaba programada para expirar después de un período de tiempo determinado. [3] Zagala dijo que él personalmente tenía “un máximo de entre 10 y 20” afiliados en un momento dado, y “a veces solo 5”. Agregó que los piratas informáticos se acercaron a él en busca de su software después de haber obtenido acceso a la red de una víctima: “vienen con acceso a [b]ig LAN, compruebo y luego aceptó[.] bloquean varias redes grandes y esperamos… Si bloqueas redes sin cinta ni nube (copias de seguridad)[,] casi todas pagan[.]”

Zagala explicó además que, a veces, la red de una víctima resultó tener una copia de seguridad inesperada: “así que no tiene sentido bloquearla porque tienen copias de seguridad, así que en ese caso solo extraemos datos”, refiriéndose al robo de información de la víctima. Zagala agregó además que tenía un asociado que "sabe cómo corromper cintas", es decir, copias de seguridad, y cómo "deshabilitar AV", es decir, software antivirus. Finalmente, Zagala ofreció darle a CHS-1 dos semanas adicionales gratis después de que caducara la licencia de un mes de CHS-1, explicando que "porque 1 mes es muy poco para este negocio... a veces es necesario trabajar mucho para obtener buenas ganancias".

Los clientes de Zagala calificaron favorablemente sus productos. Una persona publicó un mensaje elogiando a Thanos en julio de 2020, escribiendo "Compré el ransomware de nosophoros y es muy poderoso" y afirmando que había usado el ransomware de Zagala para infectar una red de aproximadamente 3000 computadoras. Y, en diciembre de 2020, otro usuario escribió una publicación en ruso: “Hemos estado trabajando con este producto durante más de un mes, ¡tenemos una buena ganancia! El mejor apoyo que he conocido.” Zagala ha discutido públicamente su conocimiento de que sus clientes usaron su software para cometer ataques de ransomware, incluido un enlace a una noticia sobre el uso de Thanos por parte de un grupo de piratería patrocinado por el estado iraní para atacar a empresas israelíes.

Alrededor de noviembre de 2021, Zagala comenzó a usar un tercer nombre de pantalla: "Nabucodonosor". En chats con una segunda fuente confidencial del FBI (CHS-2), Zagala declaró que había cambiado de alias para preservar la "OPSEC... seguridad operativa" porque "los analistas de malware están sobre mí".

El 3 de mayo de 2022 o alrededor de esa fecha, los agentes encargados de hacer cumplir la ley realizaron una entrevista voluntaria a un pariente de Zagala que reside en Florida y cuya cuenta de PayPal fue utilizada por Zagala para recibir ganancias ilícitas. El individuo confirmó que Zagala reside en Venezuela y se había autodidacta en programación informática. El individuo también mostró a los agentes la información de contacto de Zagala en su teléfono que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada con el malware de Thanos.

Si es declarado culpable, el acusado enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

El caso del gobierno está siendo manejado por la Sección de Seguridad Nacional y Delitos Cibernéticos de la Oficina. Los fiscales federales adjuntos David K. Kessler y Alexander F. Mindlin están a cargo de la acusación.

El demandado :

MOISES LUIS ZAGALA GONZALEZ Edad: 55 Ciudad Bolívar, Venezuela

Expediente EDNY No. 21-M-276

Fuente United States Desprtament of Justice