Attention, les apparences peuvent être trompeuses. La justice américaine vient de dévoiler des poursuites pénales en cours dans une affaire de cybercriminalité contre un… cardiologue franco-vénézulien. A mille lieux de la médecine, le docteur Moises Luis Zagala, un homme de 55 ans qui vit à Ciudad Bolivar au Vénézuéla, est soupçonné d’être le créateur de deux rançongiciels, Jigsaw v.2 et Thanos.
Le premier malware avait sévi à partir de 2016, tandis que le second était apparu en début d’année 2020. Recorded Future, Prometheus, Haron ou Hackbit seraient ainsi des dérivés.
Si l’on ignore l’ampleur du trafic, le FBI a pu compter au moins 38 licences de Thanos communiquant avec le serveur de contrôle et de commande localisé en Caroline du Nord. Le bureau fédéral a également remarqué, dans l’acte d’accusation, qu’un message envoyé à un acheteur sur un forum de cybercriminels faisait vraisemblablement référence à un réseau de 3000 ordinateurs infectés. Le malware aurait enfin été utilisé par un groupe de hackers proches de l’État iranien, selon des déclarations du mis en cause, sans doute sur un forum, signalées par la justice américaine.
Un vétéran de la cybercriminalité
Pour le FBI, le cardiologue serait un vétéran de l’informatique déjà actif dans l’underground en 1997. En plus de vingt ans, le médecin spécialisé dans la rétro-ingénierie aurait bifurqué des programmes de cracking aux rançongiciels. Pour étayer cette accusation, les enquêteurs ont fourni de nombreux indices.
Tout d’abord, pour l’anecdote, une variante de Jigsaw avait révélé un chemin d’arborescence de fichier contenant une référence à “Moises”, une information identifiée par une société allemande. Présent sur plusieurs forums de cybercriminels, sous les pseudonymes « Esculape », « Nebucadnetsar » ou encore « Nosophoros », le cardiologue aurait surtout, selon le FBI, fait la promotion de ses logiciels défectueux. Des messages qui l’auraient confondu avec la publication d’un compte Paypal pour les transactions, attribués à Moises Zagala selon l’entreprise de services de paiement.
Adresses crypto
Ce compte Paypal renvoyait également à une adresse gmail au nom du docteur. Là encore, les réquisitions judiciaires adressées à la firme de Mountain View ont été fructueuses. Une conversation WhatsApp enregistrée en juin 2019 dans un mail fait ainsi référence au rançongiciel Jigsaw. Un autre message de juillet 2019 contenait l’adresse Monero d’un portefeuille de crypto-monnaie contrôlé par Nosophoros.
Après avoir acheté une copie de Thanos, l’enquêteur en charge du dossier a pu identifier un autre portefeuille crypto du vendeur, renvoyant là aussi, selon la plateforme utilisée, au cardiologue. Enfin, un hacker malveillant se repenti a également collaboré avec les enquêteurs en faisant semblant d’être intéressé par le programme d’affiliation. Ce qui a permis au FBI de suivre de nouveaux échanges très instructifs.
Une extradition peu probable
Certes, comme la relève CNN, il apparaît peu probable que le suspect soit extradé du Vénézuela vers les Etats-Unis. Mais l’annonce de la mise en examen du cardiologue est aussi une manière de mettre la pression sur le suspect. Ses déplacements internationaux sont désormais sévèrement limités. Elle coupe également l’herbe sous le pied des utilisateurs de ces logiciels malveillants, désormais privés de support, même si la souche de Thanos n’est plus active depuis février selon The Bleeping computer.
L’annonce des poursuites offre enfin un saisissant coup d’œil sur les relations qui peuvent lier gangs mafieux et hackers malveillants. L’histoire rappelle en outre que si les soupçons de la justice américaine se confirment, au-delà du cas russe, un pays pointé du doigt pour sa complaisance envers les cybercriminels, l’industrie du rançongiciel a bien malheureusement réussi aux quatre pièces du monde.
