17.05.2022 13:11 |

„Multitasking-Arzt“

55-jähriger Arzt entwickelte nebenbei Ransomware

Das US-Justizministerium hat Anklage gegen einen 55-jährigen Kardiologen aus Venezuela erhoben, der quasi im Nebenberuf Ransomware entwickelt und verkauft haben soll. Kunden schätzten vor allem den ausgezeichneten Service des „Multitasking-Arztes“.

Artikel teilen
Drucken
Kommentare
0

Einer Mitteilung des US-Justizministeriums vom Montag zufolge soll Moises Luis Zagala Gonzalez (Zagala) Ransomware nicht nur entwickelt und verkauft, sondern Käufer auch in der Verwendung seiner Programme geschult haben. Eines der frühen Produkte des Arztes, der im venezolanischen Ciudad Bolivar lebt, war demnach eine Ransomware namens „Jigsaw“, die sich durch einen „Doomsday“-Zähler auszeichnete: Mit jeder Stunde, die ohne Zahlung des geforderten Lösegeldes verstrich, löschte die Erpresser-Software eine bestimmte Anzahl von Dateien von den Festplatten ihrer Opfer.

Ab Ende 2019 begann Zagala online für ein neues Tool zu werben - einen „Private Ransomware Builder“, den er - in Anspielung an den Marvel-Bösewicht - „Thanos“ nannte. Die Software ermöglichte es Käufern laut US-Justiz, sich ihre eigene einzigartige Ransomware zu erstellen, die sie dann selbst verwenden oder an andere Cyberkriminelle vermieten konnten.

Nutzer konnten darin in einem „Wiederherstellungsinformationen“ genannten Bereich ihre individuelle Lösegeldforderung erstellen, zu den weiteren Optionen gehörten ein „Datendieb“, der die Dateitypen angibt, die das Ransomware-Programm vom Computer des Opfers stehlen soll, sowie eine „Anti-VM“-Option, um von Sicherheitsforschern verwendete Testumgebungen zu umgehen.

Gewinnbeteiligung
Die Thanos-Software lizenzierte Zagala gegen Gebühr oder bot sie alternativ im Rahmen eines sogennanten Affiliate-Programms an, das ihm im Austausch für die Nutzung seiner Software einen Anteil an den Gewinnen aus Ransomware-Angriffen gewährte. In öffentlichen Anzeigen für das Programm prahlte Zagala damit, dass mit Thanos erstellte Ransomware von Antivirenprogrammen nahezu nicht erkannt werden könnte und dass „sobald die Verschlüsselung abgeschlossen ist“, die Ransomware „sich selbst löschen“ würde, was eine Erkennung und Wiederherstellung für das Opfer „fast unmöglich“ mache.

„Bester Support, den ich je hatte"
In privaten Chats erklärte Zagala seinen Kunden, wie man seine Ransomware-Produkte einsetzt - wie man eine Lösegeldforderung erstellt, Passwörter von Opfercomputern stiehlt und eine Bitcoin-Adresse für Lösegeldzahlungen festlegt. Ein Service, das offenbar geschätzt wurde: „Sir, ich muss das wirklich sagen: Sie sind der beste Entwickler aller Zeiten“, zitierte das US-Justizministerium aus der Nachricht eines zufriedenen Käufers. Ein anderer Kunde schrieb auf Russisch: „Wir arbeiten jetzt seit über einem Monat mit diesem Produkt, wir haben einen guten Gewinn! Bester Support, den ich je hatte.“

„Danke, das ist schön zu hören. Ich bin sehr geschmeichelt und stolz“, antworte Zagala und bat: „Wenn Sie Zeit haben und es Ihnen nicht zu viel Mühe bereitet, beschreiben Sie bitte Ihre Erfahrungen mit mir“ in einer Online-Rezension. In einschlägigen Foren prahlte der Arzt damit, dass Kunden seine Ransomware verwenden, unter anderem durch einen Link zu einer Nachricht über die Verwendung von „Thanos“ durch eine vom iranischen Staat gesponserte Hackergruppe für Angriffe auf israelische Unternehmen.

Verwandter wurde Zagala zum Verhängnis
Zum Verhängnis wurde Zagala schließlich ein Verwandter, der in Florida lebt und dessen PayPal-Konto von Zagala verwendet wurde, um illegale Einnahmen zu erhalten. In einem Anfang Mai freiwillig geführten Interview bestätigte die Person, dass Zagala in Venezuela lebt und sich das Programmieren selbst beigebracht hat. Sie zeigte Ermittlern auf ihrem Smartphone zudem Kontaktinformationen für Zagala, die mit der registrierten E-Mail für die bösartige Infrastruktur im Zusammenhang mit der Thanos-Malware übereinstimmten.

Arzt drohen bis zu zehn Jahre Haft
Im Falle einer Verurteilung drohen dem Angeklagten laut US-Justizministerium nun bis zu fünf Jahre Haft wegen „versuchten Computereinbruchs“ und fünf Jahre Haft wegen „Verschwörung zum Begehen von Computereinbrüchen“.

explore
Neue "Stories" entdecken
Beta
Loading
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).