В мае 2017 года, во время эпидемии шифровальщика WannaCry, настоящим «героем дня» стал ИБ-специалист, известный под псевдонимом MalwareTech. Тогда именно он обнаружил в коде вредоноса аварийный «стоп-кран»: оказалось, что перед началом работы малварь бращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения.
Тогда MalwareTech зарегистрировал указанный домен, активировав тем самым механизм «аварийного отключения», после чего количество успешных заражений WannaCry резко снизилось.
После этого СМИ проявили к исследователю огромный интерес. Так как он действовал под псевдонимом, всем было очень интересно узнать, кто он такой на самом деле. В итоге пресса сумела деанонимизировать MalwareTech, и выяснила, что под этим ником скрывается 22-летний британец Маркус Хатчинс (Marcus Hutchins). И хотя MalwareTech был не в восторге от такого пристального внимания, к деанонимизации и раскрытию настоящего имени он, в итоге, отнесся вполне спокойно.
3 августа 2017 года, стало известно, что Хатчинс был задержан властями США, после визита на конференции Black Hat и DEF CON, прошедшие в Лас-Вегасе на прошлой неделе. Журналисты издания Vice Motherboard и друзья MalwareTech сумели выяснись, что вначале специалиста держали в изоляторе в Хендерсоне, но после куда-то перевели. Представители службы маршалов США сообщили, что им ничего об этом неизвестно, так как арест произвело ФБР, и задержанный находится в их ответственности.
Представители британского национального Центра кибербезопасности сообщили журналистам, что им известно о происходящем, однако они не сочли нужным вмешиваться, так как «это дело правоохранительных органов».
Чуть позже журналистам удалось достать копию обвинительного акта, и документ пролил свет на ситуацию. Оказалось, что Маркуса Хатчинса обвиняют в создании и распространении банковского трояна Kronos в 2014-2015 годы. В документах фигурирует не только MalwareTech, но и еще один подозреваемый, чье имя не раскрывается. Сообщается, что они рекламировали и продавали своего банкера на подпольных форумах и торговых площадках, включая закрытый недавнодаркнет-маркет AlphaBay. Напомню, что в те годы пожизненная лицензия на Kronos стоила $7000, а неделя пробного тестирования обходилась в $1000.
Пока никаких комментариев от ФБР и Министерства юстиции США не последовало. Коллеги MalwareTech уверяют, что правоохранительные органы «серьезно облажались» и считают, что исследователь не мог заниматься продажей и разработкой банкера, ведь он много лет борется именно с такими угрозами.
Судя по твиттеру специалиста,он действительно мог заниматься изучением трояна Kronos в то время.