Marcus Hutchins, säkerhetsforskaren som hjälpte till att stoppa WannaCry-attacken tidigare i år, har erkänt sig oskyldig till anklagelser om att skapa, sälja och underhålla skadlig programvara.
Trots att åklagare i USA hävdar att Hutchins har erkänt att han skapat och distribuerat skadlig programvara från Kronos, som samlar in bankuppgifter från intet ont anande offer, sa Hutchins advokat Adrian Lobo att hans klient förnekar de sex anklagelserna.
23-åringen från Ilfracombe, Devon, som hjälpte till att döda Mays WannaCry-virus som drabbade NHS bland andra företag över hela världen, beviljades $30 000 (Kr23 000) borgen på fredagen men kunde inte betala så kommer att förbli frihetsberövad.
Moderkort första rapporterade nyheten om Hutchins som fängslats av FBI på väg hem från DefCons black hat hacking-evenemang i Las Vegas förra veckan. Man trodde från början att Hutchins, som gör inlägg online under pseudonymen MalwareTech, hade tagits av amerikanska marskalkar, men en talesman för byrån sa att arresteringen hade gjorts av FBI.
Hutchins åtalades i samband med en tvåårig cyberbrottsutredning i USA om den skadliga programvaran Kronos, enligt domstolshandlingar. Denna utredning startade före WannaCry-utbrottet och de två sägs inte vara släkt när det gäller Hutchins.
Justitiedepartementet sa i ett uttalande att Hutchins ”greps den 2 augusti 2017 i Las Vegas, Nevada, efter att en stor jury i det östra distriktet i Wisconsin lämnat tillbaka ett åtal mot Hutchins för hans roll i att skapa och distribuera Kronos.” Alphr har kontaktat DoJ för mer information om räkningarna. Ett uttalande om gripandet av Storbritanniens National Cyber Security Center förklarade att det är medvetet om Hutchins arrestering men vägrar att kommentera ytterligare.
Vad är Kronos malware?
Kronos malware är en banktrojan som sprids via e-postbilagor. Det används för att stjäla banklösenord från infekterade datorer och har konfigurerats för att infiltrera banksystem i bland annat Storbritannien, Kanada, Tyskland, Frankrike, Polen.
Tidiga rapporter om Kronos dök upp 2014 när en annons sågs på ett ryskt cyberkriminellt forum. Verktyget annonserades för $7 000 som en del av ett paket som inkluderade gratis uppgraderingar och buggfixar. Forskning om skadlig programvara fann att den är, eller åtminstone denna tidiga form, var kompatibel med verktyg som utvecklats för vad som förmodligen är den mest kända banktrojanen, Zeus. Det sades faktiskt ha utformats för att göra det möjligt för cyberkriminella som fortfarande använder Zeus att enkelt flytta över till Kronos.
Hutchins anklagas för att ha underhållit Kronos med en icke namngiven medbrottsling. De anklagas specifikt för att ha spridit skadlig programvara via Alphabays marknadsplats från juli 2014 och juli 2015. Kort efter att Kronos skadlig kod upptäcktes twittrade Hutchins och frågade om någon ”hade ett prov.” Alphabay stängdes förra månaden, tillsammans med Hansa, efter vad som beskrevs som en ”landmärke” internationell utredning. Båda sajterna var kopplade till att sälja skadlig programvara, stulen data, vapen, droger och mer olagliga ämnen.
Läs mer om Kronos banktrojan och hur den sprider sig
Hur stoppade Marcus Hutchins WannaCry?
Hutchins blev en något motvillig ”hjälte” i maj i år när han upptäckte en dold ”kill switch” i WannaCry ransomware-viruset som träffade mer än 300 000 datorer, många inom NHS, i 150 länder. Han ska senare ha arbetat med National cyber Crime Unit av National Crime Agency, men detta har inte bekräftats.
Marcus Hutchins stoppade WannaCry med en webbadress som hittats i skadlig kod. Från denna långa URL upptäckte Hutchins virusens domännamn i skadlig kod och registrerade den hos internettjänster. När WannaCry spred sig plingade viruset och dess kod upprepade gånger domännamnet för att se om det var live. Hela tiden som det var inaktivt skulle viruset fortsätta att spridas. Men när domännamnet väl var registrerat och aktiverat kunde WannaCry inte längre spridas på samma sätt och med sådana hastigheter. Hutchins sa då att han inte med säkerhet visste att det skulle hända förrän det gjorde det.
Vid den tiden uttryckte många forskare förvåning över att hackarna till och med skulle aktivera en ”kill switch”, vilket gör dess ransomware sårbar. Hutchins tror att switchen lades till så att hackare skulle kunna skydda ransomware från säkerhetsexperter. När man analyserar spridningen av skadlig programvara, testar forskare den vanligtvis i ”sandlådemiljöer” för att lura den specifika skadliga programvaran att tro att den finns i den verkliga världen. Genom att lägga till denna URL-fråga skulle skadlig programvara veta att den lurades och undvika att hamna i ett hörn. Kostnaden för att registrera domänen var bara $10.
Det utrotade inte viruset helt eftersom det finns olika varianter av skadlig programvara (med olika kill-switchar), och det finns potential att göra fler.
Efter rapporter om hans frihetsberövande troddes Hutchins ha förts till Henderson interneringscenter i Nevada på torsdagen innan han flyttades till en annan, okänd plats.
LÄS NÄSTA: Vad är ransomware?
