marcus wannacry
Sicurezza

La verità dietro l'arresto dell'eroe di WannaCry

Aveva bloccato la diffusione del ransomware: è stato fermato dall’FBI con l’accusa di aver creato Kronos, un virus lanciato nel 2014 a scopo di frode

Si chiama Marcus Hutchins ed è l’esperto informatico che era riuscito a fermare la diffusione di WannaCry.

Come ricorderete, si tratta del ransomware che a maggio aveva bloccato migliaia di computer in mezza Europa (e nel mondo), grazie a una vulnerabilità nel protocollo SMB di Windows. Marcus, quasi causalmente, aveva ottenuto una copia del malware, notando che era legato a un indirizzo web farlocco, utilizzato per mandare in loop (senza fine) la propagazione della minaccia.

Per circa 10 dollari il ragazzo, che lavora in Inghilterra per l’azienda americana di sicurezza informatica Kryptos Logic, si era assicurato il dominio connesso, proteggendolo e fermando concretamente WannaCry.

Perché è stato arrestato

Qualche ora fa, in procinto di tornare dalla Def-con, una famosa conferenza per hacker, è stato arrestato in aeroporto dall’FBI con l’accusa di aver contribuito al lancio di Kronos, un altro virus di cui si hanno le prime tracce dal 2014. Che c’entra con WannaCry? Assolutamente niente ed è per questo che la situazione sembra davvero paradossale.

In più di una settimana negli USA, dove si trovava per l’incontro, Marcus non ha avuto alcun problema con la polizia, nemmeno un minimo di interrogatorio per qualcosa avvenuto tre anni fa. Il dubbio è questo: perché gli agenti federali si sono svegliati proprio adesso? Se Marcus non fosse diventato un eroe per caso (come ammette egli stesso) sarebbe finito lo stesso in carcere?  

Il parere degli esperti

Stamane John Miller, Senior Manager Analysis di FireEye, famosa agenzia di sicurezza ha detto: “Molti dettagli che circondano questo arresto e il presunto ruolo di Marcus Hutchins nello sviluppo di Kronos rimangono poco chiari. Sappiamo che il malware è stato pubblicizzato su un forum russo da parte di VinniK nel giugno 2014. Da allora è stato usato in una serie di attività malevoli e ha infettato diverse organizzazioni, anche grazie alla vendita direttamente online. La notizia che Marcus è stato fermato potrebbe scoraggiare chiunque possegga una copia di Kronos dal continuare a utilizzarla”.

Cosa succede

In parole semplici le autorità avrebbero individuato in Marcus Hutchins il capro espiatorio perfetto per far capire che le indagini su Kronos stanno diventando più serrate, con l’intento di beccare chiunque lo abbia sfruttato in passato o ha intenzione di farlo nell’immediato.

Colpendo il giovane hacker è come se l’FBI avesse detto agli smanettoni in giro per il mondo: ok, sappiamo che avete una copia del virus, fareste meglio a tenerla sul computer senza azionarla. La domanda è: perché Kronos e non tutta la moltitudine di malware prodotti dal 2014 ad oggi?

Cos’è Kronos

Il malware di cui Marcus Hutchins è accusato di essere uno degli sviluppatori, se non il principale, ha lo scopo di rubare i nomi utente e le password di accesso ai siti di banche e istituti finanziari, così da entrare nei conti dei correntisti. Si installa nel computer come un trojan, ovvero un elemento nascosto (il riferimento al Cavallo di Troia non è casuale) e in grado di compiere operazioni su determinati programmi.

Tracce digitali

Nel nostro caso Kronos si avvia all’apertura del browser, restando silente fin quando non individua che l’utente si è recato sul portale della propria banca. Da quel momento registra le lettere e i numeri digitati per l’autenticazione e li invia ai criminali connessi in remoto. Stando all’FBI, alcune tracce del virus, analizzate in coda a frodi andate a segno tra il 2014 e il 2015, ricondurrebbero proprio al tecnico inglese, conosciuto in rete con il nome di @MalwareTech.

Ritorno di fiamma

Con tutta probabilità Kronos rappresenta una minaccia poco controllabile da FBI e compagne. Per questo l’organo si sarebbe mosso in via preventiva per limitarne l’impiego a livello globale. Sebbene siano passati tre anni dalla prima scoperta, pare non vi sia facile rimedio al suo debellamento anche perché dietro a Kronos potrebbe esservi un team dedicato, pronto a renderlo più potente ogni volta che i buoni trovano una soluzione per individuarlo ed eliminarlo.

Un tweet rivelatore

Insomma il coinvolgimento di Hutchins in questa storia è fumoso. A rendere ancora più complicata la vicenda c’è di mezzo un tweet, lanciato nel luglio del 2014, in cui scrive: Qualcuno ha una copia di Kronos? Esporsi in questo modo, da accusato ideatore del malware, non avrebbe avuto senso. Perché Marcus chiedeva il codice da lui stesso realizzato e per lo più tramite un canale così visibile come Twitter?

Una prova della sua iniziale innocenza o di una lungimiranza fuori dal comune.

Per saperne di più

© Riproduzione Riservata

Commenti