Венесуэльский кардиолог уличен в создании вирусов-вымогателей Jigsaw и Thanos

by topbloger 19. мая 2022 13:57
Троянская доля Мойзеса Гонсалеса.

Троянская доля Мойзеса Гонсалеса. Власти США выявили разработчика вредоносных программ Jigsaw и Thanos, получивших широкое распространение в конце прошлого десятилетия. Им оказался 55-летний кардиолог из Венесуэлы. Со слов его родственников, программированию он обучился самостоятельно. Свое ПО он продавал и даже лицензировал одним хакерам, а другие получали его бесплатно в обмен на часть прибыли от атак.

Хакер под маской врача

Министерство юстиции США сегодня обвинило 55-летнего гражданина Венесуэлы Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) в создании нашумевших вирусов-вымогателей, пишет портал Bleeping Computer. По утверждению представителей ведомства, именно он ответственен за создание шифровальщиков Jigsaw и Thanos.

В документах американского Минюста указано, что Гонсалес, работающий кардиологом имеющий двойное гражданство (Венесуэла и Франция) не стал ограничиваться одной лишь разработкой Jigsaw и Thanos. По утверждению властей, он продавал и лицензировал их другим хакерам, а также предлагал им свои услуги по техподдержке малварей и обучению их использованию.

ImageId: 74581
ID-карта Мойзеса Луиса Загала Гонсалеса
Дополнительным гонораром Гонсалеса, по информации Минюста, являлась часть выкупа, который получали хакеры от своих жертв. В киберпреступном сообществе кардиолог был известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar.

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти (Thanos — в честь Tanatos олицетворения смерти в греческой мифологии — прим. CNews), а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаках, в том числе со стороны злоумышленников, связанных с правительством Ирана», а — заявил прокурор США Брион Пис (Breon Peace).

Творения Гонсалеса

Jigsaw — это первое творение кардиолога, проживающего в Сьюдад-Боливаре (Венесуэла). По данным Bleeping Computer, этот вымогатель не проявлял активность с осени 2021 г., хотя и до этого он использовался нечасто, в том числе и потому, что для него существует бесплатный дешифровщик. Что вдохновило Гонсалеса назвать свой продукт именно так, остается неизвестным. Не исключено, что это отсылка к фильмам серии «Пила» (Jigsaw). Также это может быть связано с популярным видом головоломок jigsaw puzzle, в России известным просто как «пазл».

На основе оригинального Jigsaw, по данным Минюста США, хакер разработал Jigsaw 2.0, в который встроил так называемый счетчик «судного дня» (Doomsday counter). Он отслеживал, сколько раз пользователь пытался уничтожить программу-вымогатель на своем ПК. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жесткий диск», — приводят представители Минюста цитату из описания к вредоносу.

Во второй половине 2019 г. Гонсалес начал рекламировать свой новый продукт — Thanos. Вероятно, название является отсылкой к одноименному злодею из вселенной Marvel, который уничтожил половину всего живого во Вселенной. Имя персонажа является выводом из имени Танатос, олицетворения смерти в греческой мифологии.

ImageId: 74582
Интерфейс Thanos
Thanos представляет собой своего рода конструктор по созданию программ-вымогателей. С его помощью хакеры могут создавать собственные вредоносы для дальнейшего использования или предоставления в аренду другим киберпрестуникам. Thanos распространялся по модели Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS)

Схема заработка

Гонсалес разработал целую схему монетизации своих вредоносов, которую наиболее успешно применял с Thanos. Он предложил всем интересующимся два способа заполучить его продукт.

ImageId: 74583
Активность программы-вымогателя Thanos
Первый подразумевал покупку «лицензии» на использование Thanos. Такая лицензия имела свой срок действия, а в сам конструктор был встроен скрипт, в котором прописаны алгоритмы фонового подключения к специальному серверу для проверки действительности лицензии. Сервер размещался в Шарлотте (Северная Каролина, США). Стоимость базовой лицензии составляла $500 (31,8 тыс. руб. по курсу ЦБ на 18 мая 2022 г.). Она подразумевала лишь ограниченный набор возможностей конструктора. За $800 (50,8 тыс. руб.) клиенты получали доступ ко всем функциям Thanos.

Второй способ сам Гонсалес называл «партнерской программой». Хакер открывал желающим доступ к Thanos в обмен на часть выкупа. Расплачиваться с ним можно было как фиатными деньгами, так и криптовалютой, включая Monero и Bitcoin.

Максимальная клиент-ориентированность

Гонсалес продвигал Thanos на различных онлайн-форумах, часто посещаемых киберпреступниками, используя псевдонимы, отсылающие к греческой мифологии. Двумя его любимыми прозвищами были «Эскулап» (Aesculapius), относящееся к древнегреческому богу медицины, и «Нософор» (Nosophoros), что в переводе с греческого означает «носящий болезни». В публичной рекламе программы Гонсалес хвастался, что программы-вымогатели, созданные с помощью Thanos, почти не выявляются антивирусными программами и что «после завершения шифрования программа-вымогатель удаляет себя, делая обнаружение и восстановление почти невозможными для жертвы».

В приватных беседах с клиентами Гонсалес объяснял, как развертывать свои продукты для вымогателей — как составить записку с требованием выкупа, украсть пароли с компьютеров-жертв и установить биткоин-адрес для выплаты выкупа. Помимо этого, он объяснял им все тонкости работы своего ПО.

Клиенты Гонсалеса положительно оценили его продукцию. В июле 2020 г. один человек опубликовал сообщение, восхваляющее Таноса, написав: «Я купил программу-вымогатель у Nosophoros, и она очень мощная». Он добавил, что использовал софт Гонсалеса для заражения сети примерно из 3000 компьютеров.

В декабре 2020 г. другой пользователь написал пост на русском языке: «Работаем с этим продуктом уже больше месяца, имеем хорошую прибыль! Лучшая поддержка, которую я встречал».

Потенциальный переезд в тюрьму

Американские власти начали выслеживать Гонсалеса весной 2020 г. В первых числах мая 2020 г. сотрудник ФБР под прикрытием вышел с ним на связь и стал обсуждать подключение к его «партнерской» программе. Хакер отказал, но предложил купить у него лицензию.

Расследование шло два года, все его аспекты Минюст пока не раскрывает. Известно лишь, что к началу мая 2022 г. сотрудники ФБР уже вычислили связь Гонсалеса с Thanos. Они опросили одного из его родственников, проживающего во Флориде (США), чей счет в сети PayPal Гонсалес использовал для получения незаконных доходов. Этот родственник подтвердил, что Гонсалес проживает в Венесуэле, и что программированию он обучился самостоятельно.

Тот же родственник согласился предоставить агентам ФБР контактную информацию Гонсалеса в своем телефоне. Она совпала с зарегистрированным адресом электронной почты для вредоносной инфраструктуры, связанной с Thanos.

В настоящее время создателю Thanos грозит тюремный срок. Его могут посадить на 10 лет — до пяти лет он может получить за попытку взлома компьютера, и еще столько же — за сговор с целью взлома компьютера.

***

Оригинал этого материала
© Xakep.ru, 13.04.2016, Иллюстрация: softpedia.com

Троян-вымогатель Jigsaw удаляет файлы, пока ему не заплатят

Олег Парамонов

Новый троян-вымогатель под названием Jigsaw не только шифрует файлы, но и даёт жертве действенный стимул не медлить с выкупом. Для этого он удаляет документы с диска один за другим, пока ему не заплатят.

После запуска троян отыскивает на накопителях заражённого компьютера файлы 226 различных типов, шифрует их при помощи алгоритма AES и переименовывает, добавляя расширение .fun (другие модификации Jigsaw используют расширения .gws, .kkk и .btc).

Когда файлы зашифрованы, вредоносная программа выводит на экран портрет Конструктора из серии фильмов «Пила» (по-английски этого персонажа зовут Jigsaw, чем и объясняется название трояна). К портрету прилагается витиеватая записка с угрозами и требованием заплатить выкуп.

ImageId: 74584
Зараженный вирусом Jigsaw компьютер
Размер выкупа составляет 0,4 биткоина (чуть больше 11 тысяч рублей). В том случае, если жертва не переведёт деньги в течение часа, Jigsaw удалит один из зашифрованных файлов. После этого с каждым прошедшим часом он будет удалять всё больше и больше файлов, но выключать или перезагружать компьютер лучше не стоит. Когда он заработает снова, пропадёт сразу тысяча файлов.

Специалисты по вредоносному софту Майкл Гиллеспи, Лоуренс Абрамс и хакерская группа MalwareHunterTeam разработали программу JigSawDecrypter, которая вскрывает шифрование Jigsaw. Перед её запуском необходимо вручную остановить процессы firefox.exe и drpbx.exe (этими названиями, как правило, маскируются процессы трояна).

***

Оригинал этого материала
© Xakep.ru, 07.09.2020, Иллюстрация: via Xakep.ru

Шифровальщик Thanos пытается перезаписывать MBR

Мария Нефёдова

Специалисты Palo Alto Networks заметили, что шифровальщик Thanos обзавелся новой функциональностью и пытается вносить изменения в MBR (Master Boot Record) на зараженных машинах, чтобы воспрепятствовать нормальному запуску системы.

В частности такое поведение вредоноса было зафиксировано в июле 2020 года, во время двух атак на госучреждения на Ближнем Востоке и Северной Африке. К счастью, авторы малвари допустили ошибку в коде, и MBR пострадавших систем остается целым.

«Перезапись MBR — это более деструктивный подход к вымогательским атакам. Жертвам придется приложить больше усилий, чтобы восстановить свои файлы, даже если они заплатят выкуп. К счастью, в данном случае код, отвечающий за перезапись MBR, не срабатывал, так как сообщение с требованием выкупа [которое должно выводиться на экране блокировки] содержало недопустимые символы», — рассказывают аналитики Palo Alto Networks.

Хотя перезаписать MBR малвари не удалось, во время упомянутых атак операторы Thanos создали на зараженных машинах обычные текстовые файлы HOW_TO_DECIPHER_FILES.txt и потребовали у своих жертв 20 000 долларов за восстановление данных. При этом у экспертов нет информации о том, согласились ли пострадавшие на уплату выкупов.

ImageId: 74585
Вымогательское послание Thanos
Исследователи полагают, что злоумышленники проникли в целевые сети задолго до развертывания пейлоадов вымогателя, так как в образцах, восстановленных после атаки, удалось обнаружить действительные учетные данные.

Thanos представляет собой RaaS (Ransomware-as-a-Service), который активно рекламируется на русскоязычных хакерских форумах с февраля 2020 года. Некоторые образцы Thanos также фигурировали в отчетах экспертов под названием Hakbit (из-за различных расширений, который шифровальщик оставляет после себя), но исследователи из Recorded Future пишут, что это была одна и та же малварь.

SecurityLab.ru, 17.05.2022, "55-летний кардиолог оказался автором опасного вымогательского ПО": Thanos перестал появляться в сообщениях о взломе ID-Ransomware c февраля 2022 года, а в июне 2021 года на VirusTotal произошла утечка конструктора вредоносных программ Ransomware Builder.

Некоторые образцы вредоносного ПО Thanos ранее были помечены как Prometheus, Haron или Hakbit из-за различных форматов шифрования, используемых аффилированными лицами. Однако, группа Insikt из Recorded Future обнаружила, что это одна и та же программа.

«Основываясь на сходстве кода, повторном использовании строк и базовой функциональности, Insikt Group с высокой степенью уверенности оценивает, что образцы программы Hakbit созданы с использованием конструктора Thanos Ransomware Builder, разработанного Nosophoros», - говорится в сообщении Insikt Group.

По словам Министерства юстиции США, Zagala публично обсуждал использование его инструментов «клиентами», «в том числе путем ссылки на новостную статью об использовании хакерской группой, спонсируемой иранским государством, программы Thanos для атак на израильские компании», согласно отчету ClearSky об операции Operation Quicksand. — Врезка К.ру

blog comments powered by Disqus

Добавить комментарий



Список Компроматов

Избранное