17-05-2022.- El Departamento de Justicia de Estados Unidos acusó a un cardiólogo venezolano como el presunto autor intelectual del notorio software de secuestro de datos para extorsión (ransomware) Thanos.

Según las autoridades de EE.UU., el doctor Moisés Luis Zagala González, de 55 años residente en Ciudad Bolivar, quien posee nacionalidad francesa, creó y distribuyó el software Thanos, una operación de secuestro de datos como servicio (ransomware as a service, RaaS) que permitió a sus usuarios crear e implementar sus propias variantes de la herramienta maliciosa para extorsionar a terceros.

Los softwares de ransomware infectan las computadoras de las víctimas, cifrando toda la data en el sistema, haciéndola imposible de accesar, en lo que en esencia es un secuestro de datos. En las computadoras infectadas se muestra un mensaje alertando a la víctima y exigiendo el pago de sumas de dinero en cripto-monedas para proveerles una contraseña que restaure la data.

El Dr. Zagala supuestamente vendió y alquiló las herramientas de secuestro de datos a los ciberdelincuentes a partir de 2019 e incluso enseñó a los ciberdelincuentes cómo usarlas, según la acusación, entrenandolos en cómo redactar notas de extorsión, robar contraseñas de las computadoras de las víctimas y configurar cuentas para que las víctimas hagan los pagos de las extorsiones en Bitcoin. "Zagala brinda un amplio servicio al cliente junto con su software, asesorando a sus clientes sobre la forma más efectiva de usar su software contra sus víctimas", dice la acusación. El FBI dijo que se vendieron al menos 38 copias de la herramienta Thanos.

Zagala también discutió públicamente en redes sociales cómo sus clientes usaron sus herramientas en ataques de secuestro de datos, e incluso publicó enlaces a noticias sobre el uso de Thanos por parte de un grupo de piratería patrocinado por Irán para atacar empresas israelíes. Una de las noticias referidas por Zagala detalló el uso de su herramienta de secuestro de datos por parte del grupo de piratería MuddyWater, el cual el Comando Cibernético de EE.UU. vinculó con la inteligencia iraní a principios de este año.

“Como se alega, el médico 'multitarea' trató pacientes, creó y nombró su herramienta cibernética después de la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, dijo Breon Peace, el fiscal federal para el este de Nueva York, donde se presentó el caso.

Además de crear Thanos, se acusa a Zagala de crear "Jigsaw v. 2", una herramienta de secuestro de datos que incluía el llamado "contador del fin del mundo" que registraba cuántas veces las víctimas habían intentado eliminar el malware. "Si el usuario trata de eliminar el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro", escribió Zagala, según el Departamento de Justicia, y agregó que se eliminarían 1000 archivos cada vez que una víctima reinicie su sistema.

Los productos de Zagala gozaban de buena reputación entre los ciberdelincuentes, a los que solicitaba reseñas. El Departamento de Justicia dijo que encontró varias reseñas de sus productos que promocionan su eficacia. Un crítico dijo que usaron los productos de Zagala para "infectar una red de aproximadamente 3000 computadoras" y otro usuario escribió en ruso que habían obtenido "buenas ganancias" después de un mes de usar las herramientas de ransomware.

El FBI pudo identificar a Zagala después de entrevistar a una de sus familiares cuya cuenta de PayPal se utilizó para recibir las ganancias ilícitas.

Con frecuencia, Zagala cambiaba los nombres de usuario y los nombres de pantalla, y le dijo a un informante del FBI en noviembre de 2021 que tenía que hacerlo porque "los analistas de malware están sobre mí".

El 3 de mayo, agentes del FBI hablaron con uno de los familiares de Zagala en Florida, quien confirmó información que lo vinculaba con la operación de ransomware.

Zagala, que permanece en Venezuela, enfrenta hasta diez años de prisión en EE.UU. por intento de intrusión informática y cargos de conspiración si es llevado ante la justicia en los Estados Unidos. La acusación es parte de los esfuerzos del Departamento de Justicia en los últimos años para "nombrar y avergonzar" a los atacantes cibernéticos que se encuentran fuera de la jurisdicción de los EE.UU.

Se desconoce si el gobierno de EE.UU. solicitaría a Venezuela la extradición de Zagala, en virtud de que Washington no reconoce a Nicolás Maduro como presidente de Venezuela.