Программист, спасший мир от WannaCry, арестован в США за создание банковского трояна
Эксперт по безопасности Маркус Хатчинс, прославившийся тем, что нашёл слабое место у первой волны шифровальщика WannaCry, арестован в Лас-Вегасе после хакерской конференции Def Con. Его подозревают в причастности к появлению троянца Kronos.
Блогер MalwareTech арестован за создание банковского троянца
В Лас-Вегасе агентами ФБР арестован Маркус Хатчинс (Marcus Hutchins), 23-летний британский эксперт по безопасности, более известный под ником MalwareTech. Задержание произошло в аэропорту, когда Хатчинс пытался покинуть город после участия в хакерской конференции Def Con. Согласно судебному ордеру, опубликованному ФБР, его подозревают в сговоре с целью рекламы и продажи, а также в создании банковского троянца Kronos.
В попавших в Сеть обвинительных документах говорится, что Хатчинс и некий его сообщник разрабатывали троянец в 2014-2015 гг., а также организовали его распространение. В феврале 2015 г. предполагаемый сообщник опубликовал видео с инструкциями по использованию Kronos, этот ролик был удален с YouTube, но доступен на ряде специализированных ресурсов.
Арестованный британец и его неназванный сообщник также подозреваются в том, что они активно рекламировали вредонос на хакерских форумах, в том числе — на маркете Alphabay, и продали как минимум одну копию за $2 тыс. Персонально Хатчинса обвиняют еще и в розничной продаже кода троянца за $7 тыс.
Эксперты уже предположили, что Хатчинс попал в поле зрения ФБР после июльской ликвидации подпольного рынка Alphabay. Сам ордер на арест был подписан уже 12 июля, когда американским оперативникам удалось собрать все доступные сведения об участниках нелегальной площадки.
По сообщениям СМИ, Хатчинс после ареста содержался в изоляторе в Хендерсоне, после чего был переведен в другое место. Представители британского Центра кибербезопасности распространили заявление, в котором говорится, что они знают о случившемся, однако вмешиваться не планируют, так как это «дело правоохранительных органов».
Чем опасен Kronos
Kronos является одним из множества деривативов печально известного банковского троянца ZeuS. Он способен незаметно заражать персональные компьютеры и красть данные, дающие доступ к банковским ресурсам из Internet Explorer, Firefox и Chrome.
В числе других его возможностей — удаление конкурирующих троянцев, руткит, позволяющий избегать обнаружения, обход антивирусов и виртуальных машин. Злоумышленники распространяли Kronos через спам или заражённые закачки. В 2016 г. троянец использовался как средство доставки вредоносного ПО, атаковавшего точки продаж (Point-of-Sale) — ScanPOS.
Как Хатчинс остановил WannaCry
MalwareTech прославился в мае этого года, когда обнаружил уязвимое место в шифровальщике WannaCry и, тем самым, помог остановить первую волну его распространения. Блогер заметил, что вредоносное ПО в момент атаки пытается связаться с необычным веб-адресом — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, который не был ни на кого зарегистрирован. Хатчинс потратил $10 и оформил домен на себя, получив доступ к аналитическим данным, которые раскрывали глобальные масштабы сетевого вымогательства.
Вскоре после регистрации домена, атака WannaCry прекратилась. Сначала это было списано на совпадение, но затем MalwareTech догадался, что вредоносная программа «испугалась» виртуальной машины — защищенной платформы, используемой, в том числе, и для обнаружения вирусов и считывания их программного кода. Многие авторы вредоносного кода прописывают в нем остановку в случае попадания в такую виртуальную среду.
«Вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ, — написал тогда MalwareTech в своем блоге. — Из-за моей регистрации все эти вирусы решили, что попали в виртуальную машину, и вышли из системы. Таким образом, мы непреднамеренно предотвратили распространение программы-вымогателя».
От WannaCry серьезно пострадали пользователи в Великобритании, США, Китае, Испании, Италии, Вьетнаме и других странах. Среди жертв оказались и крупные компании, например, FedEx, и Iberdrola. Вирус прошелся и по России, атакованы были компьютеры РЖД, Сбербанка, МВД, Следственного комитета, Минздрава, МЧС и других крупных организаций. В числе пострадавших оказался и «Мегафон», который испытал перебои в работе call-центра и розничной сети, а вскоре после атаки начал поиски новых ИТ-директоров.