Ransomware : Pourquoi la justice américaine vient d’inculper un cardiologue franco-vénézuélien
Ce médecin vivant à Ciudad Bolivar est suspecté d’être derrière deux logiciels de rançongiciels vendus à des pirates malveillants.
Attention, les apparences peuvent être trompeuses. La justice américaine vient de dévoiler des poursuites pénales en cours dans une affaire de cybercriminalité contre un… cardiologue franco-vénézulien. A mille lieux de la médecine, le docteur Moises Luis Zagala, un homme de 55 ans qui vit à Ciudad Bolivar au Vénézuéla, est soupçonné d’être le créateur de deux rançongiciels, Jigsaw v.2 et Thanos.
Le premier malware avait sévi à partir de 2016, tandis que le second était apparu en début d’année 2020. Comme le relevaient les chercheurs de l'unité 42 de Palo Alto, Thanos permettait à des hackers malveillants de construire leur propre rançongiciel : selon Recorded Future, Prometheus, Haron ou Hackbit seraient ainsi des dérivés.
Si l’on ignore l’ampleur du trafic, le FBI a pu compter au moins 38 licences de Thanos communiquant avec le serveur de contrôle et de commande localisé en Caroline du Nord. Le bureau fédéral a également remarqué, dans l’acte d’accusation, qu’un message attribué à un acheteur sur un forum de cybercriminels faisait vraisemblablement référence à un réseau de 3000 ordinateurs infectés. Le malware aurait enfin été utilisé par un groupe de hackers proches de l’Etat iranien, selon des déclarations du mis en cause, sans doute sur un forum, signalées par la justice américaine.
Un vétéran de la cybercriminalité
Pour le FBI, le cardiologue serait un vétéran de l’informatique déjà actif dans l’underground en 1997. En plus de vingt ans, le médecin spécialisé dans la rétro-ingénierie aurait bifurqué des programmes de cracking aux rançongiciels. Pour étayer cette accusation, les enquêteurs ont accumulé de nombreux indices.
Tout d’abord, pour l’anecdote, une variante de Jigsaw avait révélé un chemin d’arborescence de fichier contenant une référence à “Moises”, une information repérée par une société allemande. Présent sur plusieurs forums de cybercriminels, sous les pseudonymes “Aesculapius”, “Nebuchadnezzar” ou encore “Nosophoros”, le cardiologue aurait surtout, selon le FBI, fait activement la promotion de ses logiciels malveillants. Des messages qui l’auraient confondu avec la publication d’un compte Paypal pour les transactions, attribué à Moises Zagala selon l’entreprise de services de paiement.
Adresses crypto
Ce compte Paypal renvoyait également à une adresse gmail au nom du docteur. Là encore, les réquisitions judiciaires adressées à la firme de Mountain View ont été fructueuses. Une conversation WhatsApp enregistrée en juin 2019 dans un mail fait ainsi référence au rançongiciel Jigsaw. Un autre message de juillet 2019 contenait l'adresse Monero d’un portefeuille de crypto-monnaie contrôlé par Nosophoros.
Après avoir acheté une copie de Thanos, l’enquêteur en charge du dossier a pu identifier un autre portefeuille crypto du vendeur, renvoyant là aussi, selon la plateforme utilisée, au cardiologue. Enfin, un hacker malveillant repenti a également collaboré avec les enquêteurs en faisant semblant d’être intéressé par le programme d’affiliation. Ce qui a permis au FBI de suivre de nouveaux échanges très instructifs.
Une extradition peu probable
Certes, comme le relève CNN, il apparaît peu probable que le suspect soit extradé du Vénézuela vers les Etats-Unis. Mais l’annonce de la mise en examen du cardiologue est aussi une manière de mettre la pression sur le suspect. Ses déplacements internationaux sont désormais sévèrement limités. Elle coupe également l’herbe sous le pied des utilisateurs de ces logiciels malveillants, privés désormais de support, même si la souche de Thanos n’est plus active depuis février selon The Bleeping computer.
L’annonce des poursuites offre enfin un saisissant coup d'œil sur les relations qui peuvent lier gangs mafieux et hackers malveillants. L’histoire rappelle en outre que si les soupçons de la justice américaine se confirment, au-delà du cas russe, un pays pointé du doigt pour sa complaisance envers les cybercriminels, l’industrie du rançongiciel prospère bien malheureusement aux quatre coins du monde.
SUR LE MÊME SUJET
Ransomware : Pourquoi la justice américaine vient d’inculper un cardiologue franco-vénézuélien
Tous les champs sont obligatoires
0Commentaire
Réagir
