Marcus Hutchins è il 23enne esperto in sicurezza informatica che era riuscito a bloccare WannaCry, il ransomware che aveva causato una “epidemia” mondiale colpendo numerosi utenti di PC con Windows in Russia, ma anche Ucraina, India, Taiwan e tante altre parti del mondo.
Il giovanissimo ricercatore di Malwaretech era riuscito a bloccare l’infezione registrando un dominio con un nome lungo e apparentemente senza senso. Numerose versioni di WannaCry erano, infatti, indirizzate a questo dominio e se non ricevevano una risposta positiva, installavano l’encryptor e iniziavano il loro lavoro, prima cifrando tutti i dati dell’utente e poi chiederendo un riscatto per sbloccarli.
Se invece il malware riceveva una risposta, possibile solo se quel preciso dominio era stato registrato, allora il malware bloccava la sua attività. Dopo aver trovato i riferimenti di questo dominio nel codice del Trojan, il ricercatore aveva registrato il dominio in questione bloccando l’attacco. In effetti, una volta registrato e attivato, il dominio aveva ricevuto decine di migliaia di richieste, risparmiando in pratica decine di migliaia di computer dalla pericolosa infezione malware.
Secondo alcuni ricercatori questa “funzionalità” era stata integrata su WannaCry alla stregua di una sorta di un interruttore nel caso in cui qualcosa fosse andata male; secondo altri era solo un modo per complicare l’analisi del comportamento del malware.
Stando a quanto riporta il sito Motherboard il 23enne “eroe” che aveva bloccato la diffusione del malware è stato arrestato nel corso di una non meglio precisata operazione dell’FBI.
Hutchins giovedì è stato trattenuto presso l’Henderson Detention Center del Nevada e poi spostato in una località non nota. Ultime indiscrezioni riferiscono che il ragazzo è accusato di aver creato e distribuito Kronos, un trojan che aveva come target in particolare le banche. Tre le accuse a suo carico: associazione a delinquere per frode informatica, distribuzione di dispositivi elettronici per l’intercettazione di comunicazioni, tentativo di accesso a computer senza autorizzazione e intercettazione di comunicazioni elettroniche.
Hutchins avrebbe creato il trojan nel 2014 e alcuni complici lo avrebbero messo in vendita per 3.000 dollari. Il malware sarebbe stato aggiornato e “reclamizzato” anche all’interno di forum criminali dell’underground russo, offerto anche a 7.000 dollari. Ricercatori di Proofpoint Security affermano che Kronos è stato usato anche in una campagna di email infettando realtà nei settori alberghiero, dell’istruzione, dei servizi finanziari e della sanità. In particolare il malware sarebbe stato sfruttato per leggere le memorie dei POS recuperando numeri di carte di credito da inviare a un server di controllo.
