Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Un cardiologo venezuelano era lo sviluppatore dei ransomware Jigsaw e Thanos

Redazione RHC : 20 Maggio 2022 14:45

Attenzione: le apparenze possono ingannare. 

La giustizia americana ha appena rivelato un procedimento penale in corso in un caso di criminalità informatica contro un cardiologo franco-venezuelano. 

A mille miglia dalla medicina, il dottor Moises Luis Zagala, un uomo di 55 anni che vive a Ciudad Bolivar in Venezuela, è sospettato di essere il creatore di due ransomware, Jigsaw v.2 e Thanos.

Il primo malware imperversava dal 2016, mentre il secondo era apparso all’inizio del 2020.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Come notato dai ricercatori dell’Unità 42 di Palo Alto, Thanos ha permesso agli hacker malintenzionati di costruire il proprio ransomware: secondo Recorded Future, Prometheus, Haron o Hackbit dovrebbero essere dei suoi derivati.

    L’FBI è stata in grado di contare almeno 38 licenze di Thanos che comunicano con il server di comando e controllo situato nella Carolina del Nord. L’ufficio federale ha anche riportato nell’atto d’accusa che un post attribuito a un acquirente su un forum di criminali informatici probabilmente si riferiva a una rete di 3.000 computer infetti.

    Il malware è stato infine utilizzato da un gruppo di hacker vicino allo stato iraniano, secondo le dichiarazioni dell’intervistato, probabilmente su un forum, riportato dal sistema giudiziario americano.
     

    Un veterano del crimine informatico

    Per l’FBI il cardiologo sarebbe un informatico veterano già attivo nella clandestinità nel 1997. In più di vent’anni, il medico si era specializzato in reverse engineering fino al deploy di malware e allo sviluppo dei ransomware.

    A sostegno di questa accusa, gli inquirenti hanno accumulato numerosi indizi.

    Innanzitutto, per la cronaca, una variante di Jigsaw aveva rivelato un percorso ad albero di file contenente un riferimento a “Moises“, informazione individuata da un’azienda tedesca

    Il cardiologo era presente su diversi forum di cybercriminali, sotto gli pseudonimi “Aesculapius”, “Nebuchadnezzar” o addirittura “Nosophoros” e avrebbe attivato, secondo l’FBI, una promozione del suo malware nelle underground. 

    Indizi crittografici

    Una conversazione WhatsApp registrata a giugno 2019 in un’e-mail fa riferimento a Jigsaw ransomware. Un altro post di luglio 2019 conteneva l’indirizzo Monero di un portafoglio di criptovalute controllato da Nosophoros.

    Dopo aver acquistato una copia di Thanos, l’investigatore incaricato del dossier è riuscito a identificare un altro crypto wallet del venditore, riferendosi anche lì, a seconda della piattaforma utilizzata, al cardiologo. 

    Infine, anche un hacker malintenzionato pentito ha collaborato con gli investigatori fingendo di essere interessato al programma di affiliazione.

    Ciò ha permesso all’FBI di seguire nuovi scambi molto istruttivi.

    Una estradizione poco probabile

    È vero che, come osserva la CNN, sembra improbabile che il sospetto venga estradato dal Venezuela negli Stati Uniti. Ma l’annuncio dell’incriminazione del cardiologo è anche un modo per fare pressione sull’indagato. 

    I suoi viaggi internazionali sono ora fortemente limitati. Infatti il ceppo Thanos al momento non è più supportato e attivo da febbraio secondo The Bleeping computer.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...

    Spagna e Portogallo al buio e sospetti di attacco informatico. NoName e DarkStorm Rivendicano

    Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...

    Cyberattacchi senza precedenti: il Report DarkMirror di DarkLab lancia l’allarme per l’Italia

    Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006