В мае 2017 года, во время эпидемии шифровальщика WannaCry, настоящим «героем дня» стал ИБ-специалист, известный под псевдонимом MalwareTech. Тогда именно он обнаружил в коде вредоноса аварийный «стоп-кран»: оказалось, что перед началом работы малварь бращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения.

Тогда MalwareTech зарегистрировал указанный домен, активировав тем самым механизм «аварийного отключения», после чего количество успешных заражений WannaCry резко снизилось.

После этого СМИ проявили к исследователю огромный интерес. Так как он действовал под псевдонимом, всем было очень интересно узнать, кто он такой на самом деле. В итоге пресса сумела деанонимизировать MalwareTech, и выяснила, что под этим ником скрывается 22-летний британец Маркус Хатчинс (Marcus Hutchins). И хотя MalwareTech был не в восторге от такого пристального внимания, к деанонимизации и раскрытию настоящего имени он, в итоге, отнесся вполне спокойно.

Фото CHRIS RATCLIFFE/BLOOMBERG

Сегодня вечером, 3 августа 2017 года, стало известно, что Хатчинс был задержан властями США, после визита на конференции Black Hat и DEF CON, прошедшие в Лас-Вегасе на прошлой неделе. Журналисты издания Vice Motherboard и друзья MalwareTech сумели выяснись, что вначале специалиста держали в изоляторе в Хендерсоне, но после куда-то перевели. Представители службы маршалов США сообщили, что им ничего об этом неизвестно, так как арест произвело ФБР, и задержанный находится в их ответственности.

Представители британского национального Центра кибербезопасности сообщили журналистам, что им известно о происходящем, однако они не сочли нужным вмешиваться, так как «это дело правоохранительных органов».

Чуть позже журналистам удалось достать копию обвинительного акта, и документ пролил свет на ситуацию. Оказалось, что Маркуса Хатчинса обвиняют в создании и распространении банковского трояна Kronos в 2014-2015 годы. В документах фигурирует не только MalwareTech, но и еще один подозреваемый, чье имя не раскрывается. Сообщается, что они рекламировали и продавали своего банкера на подпольных форумах и торговых площадках, включая закрытый недавно даркнет-маркет AlphaBay. Напомню, что в те годы пожизненная лицензия на Kronos стоила $7000, а неделя пробного тестирования обходилась в $1000.

Пока никаких комментариев от ФБР и Министерства юстиции США не последовало. Коллеги MalwareTech уверяют, что правоохранительные органы «серьезно облажались» и считают, что исследователь не мог заниматься продажей и разработкой банкера, ведь он много лет борется именно с такими угрозами.

Судя по твиттеру специалиста,он действительно мог заниматься изучением трояна Kronos в то время.



6 комментариев

  1. john_

    04.08.2017 at 10:29

    Подстава? Или все таки двуличный white hat? Интересно чем все кончится.

  2. poddex

    04.08.2017 at 15:36

    В Россию на DEF CON надо ездить. Тут никого не арестуют, еще и работу предложат.

  3. z0s

    04.08.2017 at 15:37

    ИМХО, скорее всего, все закончится сотрудничеством. Вне зависимости от того, занимался ли он чем-то подобным или нет.

Оставить мнение