Moisés Luis Zagala González, quien operaba con los apodos de “Nosophoros”, “Aesculapius” y “Nebuchadnezzar”, es acusado de intento de intrusión informática y de conspiración para cometer intrusiones informáticas.
Según la denuncia hecha pública el lunes por el tribunal federal de Brooklyn, Nueva York, los cargos se derivan del uso y venta de ransomware por parte de Zagala, así como de su amplio apoyo y acuerdos de reparto de beneficios con los ciberdelincuentes que utilizaron sus programas de ransomware.
Breon Peace, Fiscal de los Estados Unidos para el Distrito Este de Nueva York, y Michael J. Driscoll, Director Adjunto a cargo de la Oficina Federal de Investigación, Oficina de Campo de Nueva York (FBI), anunciaron los cargos en los siguientes términos: “Como se alega, este médico polifacético trató a los pacientes, creó y nombró su herramienta cibernética en honor a la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para llevar a cabo ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas, y luego se jactó de los ataques exitosos, incluso por actores maliciosos asociados con el gobierno de Irán. La lucha contra el ransomware es una de las principales prioridades del Departamento de Justicia y de esta Fiscalía. Si te beneficias del ransomware, te encontraremos y desbarataremos tus operaciones maliciosas”.
En el documento se agrega: “Acusamos a Zagala no sólo de haber creado y vendido productos de ransomware a hackers, sino también de haberlos entrenado en su uso. Nuestras acciones de hoy evitarán que Zagala siga encontrando víctimas. Sin embargo, muchos otros delincuentes malintencionados están buscando empresas y organizaciones que no han tomado medidas para proteger sus sistemas, lo cual es un paso increíblemente vital para detener el próximo ataque de ransomware”.
Según la denuncia penal, Zagala, un cardiólogo de 55 años que reside en Ciudad Bolívar, Venezuela, ha diseñado múltiples herramientas de ransomware. Zagala vendía o alquilaba su software a hackers que lo utilizaban para atacar redes informáticas.
Uno de los primeros productos de Zagala, una herramienta de ransomware llamada “Jigsaw v. 2”, tenía, según la descripción del propio Zagala, un contador “Doomsday” que llevaba la cuenta de las veces que el usuario había intentado erradicar el ransomware. Zagala escribió: “Si el usuario intenta matar el ransomware demasiadas veces, entonces está claro que no va a pagar, así que mejor borrar todo el disco duro.”
A partir de finales de 2019, Zagala comenzó a anunciar una nueva herramienta en línea: un “Constructor de Ransomware Privado” que llamó “Thanos”. El nombre del software parece ser una referencia a un villano de dibujos animados de ficción llamado Thanos, responsable de la destrucción de la mitad de la vida en el universo, así como una referencia a la figura “Thanatos” de la mitología griega, que se asocia con la muerte. El software Thanos permitía a sus usuarios crear su propio y exclusivo ransomware, que luego podían utilizar o alquilar para que lo utilizaran otros ciberdelincuentes.
En lugar de limitarse a vender el software Thanos, Zagala permitía a los particulares pagar por él de dos maneras. En primer lugar, un delincuente podía comprar una “licencia” para utilizar el software durante un determinado periodo de tiempo. El software Thanos estaba diseñado para contactar periódicamente con un servidor en Charlotte, Carolina del Norte, que Zagala controlaba con el fin de confirmar que el usuario tenía una licencia activa. Alternativamente, un cliente de Thanos podía unirse a lo que Zagala llamaba un “programa de afiliados”, en el que proporcionaba al usuario acceso al constructor Thanos a cambio de una parte de los beneficios de los ataques de ransomware. Zagala recibía el pago tanto en moneda fiduciaria como en criptodivisas, incluyendo Monero y Bitcoin.
Zagala anunciaba el software Thanos en varios foros online frecuentados por ciberdelincuentes, utilizando nombres de usuario que hacían referencia a la mitología griega. Sus dos apodos preferidos eran “Esculapio”, en referencia al antiguo dios griego de la medicina, y “Nosophoros”, que significa “portador de enfermedades” en griego. En los anuncios públicos del programa, Zagala se jactaba de que el ransomware creado con Thanos era casi indetectable por los programas antivirus, y que “una vez cifrado”, el ransomware se “borraba a sí mismo”, haciendo que la detección y la recuperación fueran “casi imposibles” para la víctima.
En charlas privadas con clientes, Zagala les explicaba cómo desplegar sus productos de ransomware: cómo diseñar una nota de rescate, robar las contraseñas de los ordenadores de las víctimas y establecer una dirección de Bitcoin para el pago del rescate. Como explicó Zagala a un cliente, hablando de Jigsaw: “La víctima 1 paga en la dirección btc [Bitcoin] indicada y descifra sus archivos”. Zagala también señaló que “hay un castigo… [s]i el usuario se reinicia. Por cada reinicio le castigará con 1000 archivos eliminados”. Después de que Zagala le explicara todas las características del software, el cliente respondió “Señor, realmente necesito decir esto… Usted es el mejor desarrollador de la historia”. Zagala respondió: “Gracias, es un placer oírlo[.] Me siento muy halagado y orgulloso”. Zagala sólo tenía una petición: “Si tiene tiempo y no le supone demasiada molestia, describa su experiencia conmigo” en una reseña online.
El 1 de mayo de 2020, o alrededor de esa fecha, una fuente humana confidencial del FBI (CHS-1) habló de unirse al “programa de afiliados” de Zagala. Zagala respondió: “Por ahora no. No tengo plazas”. Pero Zagala ofreció licenciar el software a CHS-1 por 500 dólares al mes con “opciones básicas”, u 800 dólares con “opciones completas”.
En o alrededor del 7 de octubre de 2020, CHS-1 preguntó a Zagala cómo establecer un programa de afiliados propio usando Thanos. Zagala respondió con un breve tutorial sobre cómo configurar un equipo de ransomware. Explicó que CHS-1 debía encontrar a personas “versadas… en el hacking de LAN” y suministrarles una versión del ransomware Thanos que estuviera programada para caducar tras un periodo de tiempo determinado. Zagala dijo que él personalmente tenía “un máximo de entre 10 y 20” afiliados en un momento dado, y “a veces sólo 5”. Añadió que los hackers se dirigían a él para solicitar su software después de haber obtenido acceso a la red de una víctima: “vienen con acceso a LAN, lo compruebo y luego acepto. Bloquean varias redes grandes y esperamos… Si bloqueas redes sin cinta o nube (copias de seguridad), casi todos pagan.”
Zagala explicó además que, en ocasiones, una red víctima resultaba tener una copia de seguridad inesperada: “así que no tiene sentido bloquear porque tienen copias de seguridad, así que en ese caso sólo exfiltramos datos”, refiriéndose al robo de información de la víctima. Zagala añadió además que tenía un socio que “sabe cómo corromper las cintas”, es decir, las copias de seguridad, y cómo “desactivar antivirus”. Por último, Zagala se ofreció a dar a CHS-1 dos semanas adicionales gratis después de que expirara la licencia de un mes de CHS-1, explicando “porque un mes es muy poco para este negocio… a veces hay que trabajar mucho para obtener buenos beneficios”.
Zagala incluso se jactó públicamente de su conocimiento y de que sus clientes utilizaban su software para cometer ataques de ransomware. Incluso publicó un enlace a una noticia sobre el uso de Thanos por parte de un grupo de hackers patrocinado por el Estado iraní para atacar a empresas israelíes.
En noviembre de 2021, o alrededor de esa fecha, Zagala comenzó a utilizar un tercer nombre de usuario: “Nebuchadnezzar”. En chats con una segunda fuente confidencial del FBI (CHS-2), Zagala declaró que había cambiado de alias para preservar la “OPSEC… seguridad operativa” porque “los analistas de malware están encima de mí”.
A comienzos de mayo en curso, los agentes de la ley realizaron una entrevista voluntaria a un pariente de Zagala que reside en Florida y cuya cuenta de PayPal fue utilizada por Zagala para recibir ganancias ilícitas. Esta persona confirmó que Zagala residía en Venezuela y que había aprendido por sí mismo programación informática. El individuo también mostró a los agentes información de contacto de Zagala en su teléfono que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada al malware Thanos.
Si se le declara culpable, el acusado se enfrenta a hasta cinco años de prisión por intento de intrusión informática y a cinco años de prisión por conspiración para cometer intrusiones informáticas.
