« 経済産業省 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書、秘密情報の保護ハンドブック等 | Main | NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 »

2022.05.19

米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

こんにちは、丸山満彦です。

米国の司法省が、ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴したと公表していますね。。。

米国司法省のランサムウェアに対する対応は、本気ですよね。。。それでもなかなか追いつかない。。。

 

U.S. Department of JusticeU.S. Attorney’s Office for the Eastern District of New York

・2022.05.16 Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals

Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals ハッカーかつランサムウェア設計者がランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことで起訴される
Defendant, a Doctor, Designed Software With “Doomsday Counter,” Shared in Profits from Ransomware Attacks, and Bragged about Use by Iranian State-Sponsored Hacking Group 医師である被告は、「Doomsdayカウンター」を搭載したソフトウェアを設計し、ランサムウェア攻撃による利益を共有し、イランの国家支援ハッキンググループによる利用を自慢していました。
A criminal complaint was unsealed today in federal court in Brooklyn, New York, charging Moises Luis Zagala Gonzalez (Zagala), also known as “Nosophoros,” “Aesculapius” and “Nebuchadnezzar,” a citizen of France and Venezuela who resides in Venezuela, with attempted computer intrusions and conspiracy to commit computer intrusions.  The charges stem from Zagala’s use and sale of ransomware, as well as his extensive support of, and profit sharing arrangements with, the cybercriminals who used his ransomware programs.   ニューヨーク州ブルックリンの連邦裁判所で本日、「Nosophoros」、「Aesculapius」、「Nebuchadnezzar」としても知られる、フランスおよびベネズエラ在住のMoises Luis Zagala Gonzalez(Zagala)を、コンピュータ侵入の試みおよびコンピュータ侵入の陰謀で告訴する刑事訴状が公開されました。  この容疑は、Zagalaがランサムウェアを使用・販売したことに加え、彼のランサムウェア・プログラムを使用したサイバー犯罪者を大規模に支援し、利益分配の取り決めを行ったことに起因しています。 
Breon Peace, United States Attorney for the Eastern District of New York, and Michael J. Driscoll, Assistant Director-in-Charge, Federal Bureau of Investigation, New York Field Office (FBI), announced the charges. ニューヨーク東地区連邦検事のBreon Peace氏と連邦捜査局 (FBI) ニューヨーク支局副局長のMichael J. Driscoll氏が、今回の起訴を発表しました。
“As alleged, the multi-tasking doctor treated patients, created and named his cyber tool after death, profited from a global ransomware ecosystem in which he sold the tools for conducting ransomware attacks, trained the attackers about how to extort victims, and then boasted about successful attacks, including by malicious actors associated with the government of Iran,” stated United States Attorney Peace.  “Combating ransomware is a top priority of the Department of Justice and of this Office.  If you profit from ransomware, we will find you and disrupt your malicious operations.” Peace米国連邦検事は、次のように述べています。「兼業もしているこの医師は、患者の治療を行い、患者の死後、サイバーツールを作成して命名し、ランサムウェア攻撃を行うためのツールを販売し、攻撃者に被害者からの恐喝方法について訓練し、そしてイラン政府に関連する悪質な行為者による攻撃も含めて成功したと自慢することでグローバルなランサムウェアエコシステムから利益を得ていました。ランサムウェアとの戦いは、司法省と当庁の最優先事項です。  もしあなたがランサムウェアで利益を得ているなら、私たちはあなたを見つけ出し、あなたの悪意ある活動を崩壊させるでしょう。」
"We allege Zagala not only created and sold ransomware products to hackers, but also trained them in their use. Our actions today will prevent Zagala from further victimizing users. However, many other malicious criminals are searching for businesses and organizations that haven't taken steps to protect their systems - which is an incredibly vital step in stopping the next ransomware attack," stated Assistant Director-in-Charge Driscoll. Driscoll副所長は次のように述べています。「我々は、Zagalaがランサムウェア製品を作成し、ハッカーに販売しただけでなく、その使用方法をトレーニングしたと申し立てています。今日の我々の行動により、Zagalaがこれ以上ユーザーを犠牲にすることを防ぐことができます。しかし、他の多くの悪質な犯罪者は、システムを保護する手段を講じていない企業や組織を探しています。これは、次のランサムウェア攻撃を阻止するために非常に重要なステップです。」
As charged in the criminal complaint, Zagala, a 55-year-old cardiologist who resides in Ciudad Bolivar, Venezuela, has designed multiple ransomware tools—malicious software that cybercriminals use to extort money from companies, nonprofits and other institutions, by encrypting those files and then demanding a ransom for the decryption keys.  Zagala sold or rented out his software to hackers who used it to attack computer networks.  Zagalaは、ベネズエラのシウダー・ボリバルに住む55歳の心臓専門医で、複数のランサムウェア・ツールを設計しました。この不正なソフトウェアは、サイバー犯罪者が企業や非営利団体などからお金をゆすり取るために使用し、ファイルを暗号化した上で復号化キーの身代金を要求します。  Zagalaは、自分のソフトウェアをハッカーに販売または貸与し、それを使ってコンピューター・ネットワークを攻撃していた。 
One of Zagala’s early products, a ransomware tool called “Jigsaw v. 2,” had, in Zagala’s description, a “Doomsday” counter that kept track of how many times the user had attempted to eradicate the ransomware.  Zagala wrote: “If the user kills the ransomware too many times, then its clear he won’t pay so better erase the whole hard drive.” Zagalaの初期の製品の1つである「Jigsaw v.2」というランサムウェア・ツールは、Zagalaの説明では、ユーザーがランサムウェアを根絶しようとした回数を記録する「Doomsday」カウンターを備えていたそうです。  Zagalaは、「もしユーザーがランサムウェアを何度も退治したら、彼がお金を払わないことは明らかなので、ハードディスク全体を消去した方がいい」と書いています。
Beginning in late 2019, Zagala began advertising a new tool online—a “Private Ransomware Builder” he called “Thanos.”  The name of the software appears to be a reference to a fictional cartoon villain named Thanos, who is responsible for destroying half of all life in the universe, as well as a reference to the figure “Thanatos” from Greek mythology, who is associated with death.  The Thanos software allowed its users to create their own unique ransomware software, which they could then use or rent for use by other cybercriminals.  The user interface for the Thanos software is shown below:[1] 2019年後半から、Zagalaは新しいツール、彼が "Thanos "と呼ぶ「プライベート・ランサムウェア・ビルダー」をオンラインで宣伝し始めました。  このソフトウェアの名前は、宇宙の全生命の半分を破壊した架空の漫画の悪役「Thanos」にちなんでいるようで、また、死を連想させるギリシャ神話の人物「Thanatos」にもちなんでいるようです。  Thanosは、ユーザーが独自のランサムウェアソフトウェアを作成し、他のサイバー犯罪者に使用させたり、貸し出すことができるソフトウェアでした。  Thanosソフトウェアのユーザー・インターフェースは、以下のとおりです[1]。
Zagala_screenshot
The screenshot shows, on the right-hand side, an area for “Recovery Information,” in which the user can create a customized ransom note.  Other options include a “data stealer” that specifies the types of files that the ransomware program should steal from the victim computer, an “anti-VM” option to defeat the testing enviornments used by security researchers, and an option, as advertised, to make the ransomware program “self-delete.”  このスクリーンショットでは、右側に「リカバリー情報」のエリアがあり、ここでユーザーはカスタマイズされた身代金メモを作成することができます。  その他のオプションとしては、ランサムウェア・プログラムが被害者のコンピュータから盗むべきファイルの種類を指定する「データステアラー」、セキュリティ研究者が使用するテスト環境を無効にする「アンチVM」オプション、および宣伝されているようにランサムウェア・プログラムを「自己削除」するオプションが含まれています。 
Rather than simply sell the Thanos software, Zagala allowed individuals to pay for it in two ways.  First, a criminal could buy a “license” to use the software for a certain period of time.  The Thanos software was designed to make periodic contact with a server in Charlotte, North Carolina that Zagala controlled for the purpose of confirming that the user had an active license.[2]  Alternatively, a Thanos customer could join what Zagala called an “affiliate program,” in which he provided a user access to the Thanos builder in exchange for a share of the profits from Ransomware attacks.  Zagala received payment both in fiat currency and cryptocurrency, including Monero and Bitcoin. Zagalaは、Thanosソフトウェアを単に販売するのではなく、個人が2つの方法で代金を支払うことを可能にしました。  1つ目は、一定期間ソフトウェアを使用するための「ライセンス」を購入する方法です。  Thanosのソフトウェアは、ユーザーが有効なライセンスを持っていることを確認する目的で、Zagalaが管理するノースカロライナ州シャーロットのサーバーと定期的に連絡を取るように設計されていました[2]。 あるいは、Thanosの顧客は、Zagalaが「アフィリエイトプログラム」と呼ぶ、ランサムウェア攻撃からの利益を分配する代わりにユーザーにThanosビルダーを利用させるものに加わることもできました。  Zagalaは、不換通貨とMoneroやBitcoinを含む暗号通貨の両方で支払いを受けました。
Zagala advertised the Thanos software on various online forums frequented by cybercriminals, using screennames that referred to Greek mythology.  His two preferred nicknames were “Aesculapius,” referring to the ancient Greek god of medicine, and “Nosophoros,” meaning “disease-bearing” in Greek.  In public advertisements for the program, Zagala bragged that ransomware made using Thanos was nearly undetectable by antivirus programs, and that “once encryption is done,” the ransomware would “delete itself,” making detection and recovery “almost impossible” for the victim.  Zagalaは、サイバー犯罪者が頻繁に訪れるさまざまなオンラインフォーラムで、ギリシャ神話にちなんだスクリーンネームを使用してThanosソフトウェアを宣伝していました。  彼の好みのニックネームは、古代ギリシャの医療の神を意味する「Aesculapius」と、ギリシャ語で「病気をもたらす」という意味の「Nosophoros」の2つでした。  Zagalaはプログラムの公開広告で、Thanosを使って作られたランサムウェアはウイルス対策プログラムではほとんど検出できないこと、また「暗号化が完了すると」ランサムウェアは「自身を削除」し、被害者にとって検出と復元が「ほとんど不可能」になることを自慢げに語っています。 
In private chats with customers, Zagala explained to them how to deploy his ransomware products—how to design a ransom note, steal passwords from victim computers, and set a Bitcoin address for ransom payments.  As Zagala explained to one customer, discussing Jigsaw: “Victim 1 pays at the given btc [Bitcoin] address and decrypts his files.”  Zagala also noted that “there is a punishment… [i]f user reboots.  For every rerun it will punish you with 1000 files deleted.”  After Zagala explained all the features of the software, the customer replied: “Sir, I really need to say this . . . You are the best developer ever.”  Zagala responded: “Thank you that is nice to hear[.]  Im very flattered and proud.”  Zagala had only one request: “If you have time and its not too much trouble to you please describe your experience with me” in an online review. Zagalaは顧客とのプライベートなチャットで、ランサムウェア製品の導入方法として、身代金請求書のデザイン、被害者のコンピューターからのパスワードの盗み出し、身代金支払い用のビットコインアドレスを設定する方法などを説明しています。  Zagalaは、ある顧客に対して、ジグソーについて説明しました。「被害者1は、指定されたbtc(ビットコイン)アドレスに支払い、ファイルを復号化する"。  Zagalaはまた、「罰がある... [i]ユーザーが再起動した場合。  再起動のたびに1000ファイル削除される罰がある "と述べた。  Zagalaがソフトウェアの機能をすべて説明した後、その顧客はこう答えた。「先生、これだけはどうしても言いたいのですが.あなたは最高の開発者です」。  Zagalaはこう答えました。「ありがとうございます、うれしいです。  Zagalaの要望はただ1つ。「もし時間があれば、そして迷惑でなければ、私との経験をオンライン・レビューに書いてください」。
On or about May 1, 2020, a confidential human source of the FBI (CHS-1) discussed joining Zagala’s “affiliate program.”  Zagala responded: “Not for now.  Don’t have spots.”  But Zagala offered to license the software to CHS-1 for $500 a month with “basic options,” or $800 with “full options.”  2020年5月1日頃、FBIの機密情報源(CHS-1)は、Zagalaの「アフィリエイト・プログラム」に参加することを検討しました。  Zagalaはこう答えた。「今はダメだ。  スポットはない "と答えた。  しかしZagalaは、CHS-1に対して、「基本オプション」なら月500ドル、「フルオプション」なら800ドルでソフトウェアをライセンスすることを提案しました。 
On or about October 7, 2020, CHS-1 asked Zagala how to establish an affiliate program of his own using Thanos.  Zagala responded with a short tutorial on how to set up a ransomware crew.  He explained that CHS-1 should find people “versed…in LAN hacking” and supply them with a version of the Thanos ransomware that was programmed to expire after a given period of time.[3]  Zagala said that he personally had “a maximum of between 10-20” affiliates at a given time, and “sometimes only 5.”  He added that hackers approached him for his software after they had gained access to a victim network:  “they come with access to [b]ig LAN, I check and then I accept[.]  they lock several big networks and we wait…If you lock networks without tape or cloud (backups)[,] almost all pay[.]”  2020年10月7日頃、CHS-1はZagalaに、Thanosを使って自分のアフィリエイト・プログラムを確立する方法を尋ねた。  Zagalaは、ランサムウェアのクルーを設定する方法に関する短いチュートリアルで応えました。  彼は、CHS-1が「LANハッキングに精通している」人々を見つけ、一定期間後に期限切れになるようにプログラムされたThanosランサムウェアのバージョンを提供すべきだと説明しました[3] Zagalaは、彼自身がある時点で「最大10-20」、「時には5」のアフィリエイトを持っていると述べました。  彼は、ハッカーが被害者のネットワークにアクセスした後、彼のソフトウェアのために彼に近づいたと付け加えました。  「彼らはLANにアクセスするためにやってきて、私はそれを確認し、そして受け入れるのです...彼らはいくつかの大きなネットワークをロックし、私たちは待ちます...テープやクラウド(バックアップ)なしでネットワークをロックすれば、ほとんどすべてが支払われます...」。 
Zagala further explained that, sometimes, a victim network turned out to have an unexpected backup: “so no point in locking because they have backups, so in that case we only exfiltrate data,” referring to stealing victim information.  Zagala further added that he had an associate who “knows how to corrupt tapes,” meaning backups, and how to “disable[] AV,” meaning antivirus software.  Finally, Zagala offered to give CHS-1 an additional two weeks free after CHS-1’s one-month license expired, explaining “because 1 month is too little for this business…sometimes you need to work a lot to get good profit.” Zagalaはさらに、被害者のネットワークに予期せぬバックアップがあることが判明することがあると説明しています。「バックアップがあるからロックする意味がない。だから、その場合はデータを流出させるだけだ」と、被害者の情報を盗むことに言及しています。  さらにZagalaは、バックアップを意味する「テープを破損させる方法」と、アンチウイルス・ソフトウェアを意味する「AVを無効化する方法」を知っている仲間がいると付け加えました。  最後に、ZagalaはCHS-1の1ヶ月のライセンスが切れた後、さらに2週間無料で提供すると申し出ました。「このビジネスでは1ヶ月では少なすぎるからだ。良い利益を得るためには、時にはたくさん働かなければならない」と説明しています。
Zagala’s customers favorably reviewed his products.  One individual posted a message praising Thanos in July 2020, writing “i bought the ransomware from nosophoros and it is very powerful,” and claiming that he had used Zagala’s ransomware to infect a network of approximately 3000 computers.  And, in December 2020, another user wrote a post in Russian: “We have been working with this product for over a month now, we have a good profit!  Best support I’ve met.”  Zagala has publicly discussed his knowledge that his clients used his software to commit ransomware attacks, including by linking to a news story about an Iranian state-sponsored hacking group’s use of Thanos to attack Israeli companies. Zagalaの顧客は、彼の製品を好意的に評価しました。  ある個人は2020年7月にThanosを賞賛するメッセージを投稿し、「私はnosophorosからランサムウェアを購入しましたが、非常に強力です」と書き、Zagalaのランサムウェアを使って約3000台のコンピュータのネットワークに感染させたと主張しています。  また、2020年12月には、別のユーザーがロシア語で「この製品を使い始めて1カ月以上経ちますが、良い利益を得ています!」という書き込みをしています。  最高のサポートに出会えた"  Zagalaは、イランの国家に支援されたハッキンググループがThanosを使ってイスラエルの企業を攻撃したというニュース記事にリンクするなどして、クライアントが彼のソフトウェアを使ってランサムウェア攻撃を行ったという知識を公に語っている。
In or around November 2021, Zagala began using a third screenname – “Nebuchadnezzar.”  In chats with a second confidential source of the FBI (CHS-2), Zagala stated that he had switched aliases to preserve “OPSEC… operational security” because “malware analysts are all over me.”  2021年11月頃、Zagalaは3つ目のスクリーンネームである "Nebuchadnezzar "を使い始めています。  FBIの第2の機密情報源(CHS-2)とのチャットで、Zagalaは、「マルウェア・アナリストが私の上にいる」ため、「OPSEC...作戦上の安全」を保つために別名を切り替えたと述べています。 
On or about May 3, 2022, law enforcement agents conducted a voluntary interview of a relative of Zagala who resides in Florida and whose PayPal account was used by Zagala to receive illicit proceeds.  The individual confirmed that Zagala resides in Venezuela and had taught himself computer programming.  The individual also showed agents contact information for Zagala in his phone that matched the registered email for malicious infrastructure associated with the Thanos malware. 2022年5月3日頃、法執行機関は、フロリダに居住するZagalaの親族で、Zagalaが不正な収益を受け取るためにそのPayPalアカウントを使用していた人物に任意の聞き取り調査を実施しました。  この人物は、Zagalaがベネズエラに居住し、コンピュータ・プログラミングを独学で習得していることを確認しました。  また、この人物は、捜査官に、自分の携帯電話にあるZagalaの連絡先が、マルウェア「Thanos」に関連する悪質なインフラの登録メールと一致することを示しました。
If convicted, the defendant faces up to five years’ imprisonment for attempted computer intrusion, and five years’ imprisonment for conspiracy to commit computer intrusions.  有罪判決を受けた場合、同被告はコンピュータ侵入未遂で最長5年の禁固刑、コンピュータ侵入の共謀で5年の禁固刑に処されます。 
The government’s case is being handled by the Office’s National Security and Cybercrime Section.  Assistant United States Attorneys David K. Kessler and Alexander F. Mindlin are in charge of the prosecution.  政府の案件は、同事務所の国家安全保障・サイバー犯罪課が担当しています。  米国弁護士助手のDavid K. KesslerとAlexander F. Mindlinが起訴を担当しています。 
[1] On September 14, 2020, an FBI agent surreptitiously purchased a license for Thanos from Zagala, and downloaded the software.  [1] 2020年9月14日、FBI捜査官がZagalaからThanosのライセンスを密かに購入し、ソフトウェアをダウンロードした。
[2] This server has been taken offline. [2] このサーバーはオフラインになっています
[3] “LAN” stands for “local area network” and refers to a computer network that interconnects computers within a limited area such as an office building. [3] LANとは、ローカルエリアネットワークの略で、オフィスビルなどの限られたエリア内のコンピュータを相互に接続するコンピュータネットワークを指します

 

逮捕状

・[PDF] AMENDED AFFIDAVIT AND COMPLAINT IN SUPPORT OF AN APPLICATION FOR AN ARREST WARRANT

20220519-42835

 

-----

ちなみに、Doomsday [wikipedia] はスーパーマンを倒したクリプト星人が作り出したもののようです。。。運命の日...

 

 

|

« 経済産業省 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書、秘密情報の保護ハンドブック等 | Main | NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 産業構造審議会 知的財産分科会 不正競争防止小委員会 中間報告書、秘密情報の保護ハンドブック等 | Main | NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。 »