„Multitasking-Arzt“

55-jähriger Arzt entwickelte nebenbei Ransomware

Das US-Justizministerium hat Anklage gegen einen 55-jährigen Kardiologen aus Venezuela erhoben, der quasi im Nebenberuf Ransomware entwickelt und verkauft haben soll. Kunden schätzten vor allem den ausgezeichneten Service des „Multitasking-Arztes“.

Einer Mitteilung des US-Justizministeriums vom Montag zufolge soll Moises Luis Zagala Gonzalez (Zagala) Ransomware nicht nur entwickelt und verkauft, sondern Käufer auch in der Verwendung seiner Programme geschult haben. Eines der frühen Produkte des Arztes, der im venezolanischen Ciudad Bolivar lebt, war demnach eine Ransomware namens „Jigsaw“, die sich durch einen „Doomsday“-Zähler auszeichnete: Mit jeder Stunde, die ohne Zahlung des geforderten Lösegeldes verstrich, löschte die Erpresser-Software eine bestimmte Anzahl von Dateien von den Festplatten ihrer Opfer.

Ab Ende 2019 begann Zagala online für ein neues Tool zu werben - einen „Private Ransomware Builder“, den er - in Anspielung an den Marvel-Bösewicht - „Thanos“ nannte. Die Software ermöglichte es Käufern laut US-Justiz, sich ihre eigene einzigartige Ransomware zu erstellen, die sie dann selbst verwenden oder an andere Cyberkriminelle vermieten konnten.

Nutzer konnten darin in einem „Wiederherstellungsinformationen“ genannten Bereich ihre individuelle Lösegeldforderung erstellen, zu den weiteren Optionen gehörten ein „Datendieb“, der die Dateitypen angibt, die das Ransomware-Programm vom Computer des Opfers stehlen soll, sowie eine „Anti-VM“-Option, um von Sicherheitsforschern verwendete Testumgebungen zu umgehen.

Gewinnbeteiligung
Die Thanos-Software lizenzierte Zagala gegen Gebühr oder bot sie alternativ im Rahmen eines sogennanten Affiliate-Programms an, das ihm im Austausch für die Nutzung seiner Software einen Anteil an den Gewinnen aus Ransomware-Angriffen gewährte. In öffentlichen Anzeigen für das Programm prahlte Zagala damit, dass mit Thanos erstellte Ransomware von Antivirenprogrammen nahezu nicht erkannt werden könnte und dass „sobald die Verschlüsselung abgeschlossen ist“, die Ransomware „sich selbst löschen“ würde, was eine Erkennung und Wiederherstellung für das Opfer „fast unmöglich“ mache.

„Bester Support, den ich je hatte"
In privaten Chats erklärte Zagala seinen Kunden, wie man seine Ransomware-Produkte einsetzt - wie man eine Lösegeldforderung erstellt, Passwörter von Opfercomputern stiehlt und eine Bitcoin-Adresse für Lösegeldzahlungen festlegt. Ein Service, das offenbar geschätzt wurde: „Sir, ich muss das wirklich sagen: Sie sind der beste Entwickler aller Zeiten“, zitierte das US-Justizministerium aus der Nachricht eines zufriedenen Käufers. Ein anderer Kunde schrieb auf Russisch: „Wir arbeiten jetzt seit über einem Monat mit diesem Produkt, wir haben einen guten Gewinn! Bester Support, den ich je hatte.“

„Danke, das ist schön zu hören. Ich bin sehr geschmeichelt und stolz“, antworte Zagala und bat: „Wenn Sie Zeit haben und es Ihnen nicht zu viel Mühe bereitet, beschreiben Sie bitte Ihre Erfahrungen mit mir“ in einer Online-Rezension. In einschlägigen Foren prahlte der Arzt damit, dass Kunden seine Ransomware verwenden, unter anderem durch einen Link zu einer Nachricht über die Verwendung von „Thanos“ durch eine vom iranischen Staat gesponserte Hackergruppe für Angriffe auf israelische Unternehmen.

Verwandter wurde Zagala zum Verhängnis
Zum Verhängnis wurde Zagala schließlich ein Verwandter, der in Florida lebt und dessen PayPal-Konto von Zagala verwendet wurde, um illegale Einnahmen zu erhalten. In einem Anfang Mai freiwillig geführten Interview bestätigte die Person, dass Zagala in Venezuela lebt und sich das Programmieren selbst beigebracht hat. Sie zeigte Ermittlern auf ihrem Smartphone zudem Kontaktinformationen für Zagala, die mit der registrierten E-Mail für die bösartige Infrastruktur im Zusammenhang mit der Thanos-Malware übereinstimmten.

Arzt drohen bis zu zehn Jahre Haft
Im Falle einer Verurteilung drohen dem Angeklagten laut US-Justizministerium nun bis zu fünf Jahre Haft wegen „versuchten Computereinbruchs“ und fünf Jahre Haft wegen „Verschwörung zum Begehen von Computereinbrüchen“.