L’FBI arresta il ricercatore che ha bloccato Wannacry

Ago 04, 2017 Marco Schiaffino Hacking, In evidenza, Malware, News, RSS, Scenario 0

Marcus Hutchins stava per tornare in Inghilterra dopo aver partecipato al DEF CON di Las Vegas. “Coinvolto nella diffusione di un trojan”.

Sono in molti a pensare che Marcus Hutchins, più conosciuto forse con il suo nickname su Twitter Malware Tech, meriterebbe un monumento o, per lo meno, la riconoscenza di milioni di persone. Marcus è infatti il ricercatore che ha bloccato WannaCry registrando un dominio Internet che ne ha fermato la diffusione prima che diventasse inarrestabile.

Dalle parti del Federal Bureau of Investigation, però, sembra che la pensino in un altro modo. Stando a quanto riportato dalla BBC, infatti, il 23enne ricercatore è stato arrestato mercoledì scorso e dovrà subire un processo davanti al tribunale di Las Vegas.

Il motivo? Secondo quanto riporta la stampa inglese Hutchins sarebbe accusato di essere coinvolto nella diffusione di Kronos, un trojan bancario sul quale le forze di polizia statunitensi indagavano da due anni.

Kronos è una vecchia conoscenza delle società di sicurezza ed è progettato per rubare le credenziali di accesso dei servizi di home banking dai computer che infetta.

Ma come avrebbero fatto gli investigatori a collegare Hutchins a Kronos? Dal comunicato stampa diffuso dal Dipartimento di Giustizia statunitense emerge che il mandato di arresto per Hutchins è stato emesso l’11 luglio, prima che il cittadino inglese partisse per gli USA.

Gli ultimi tweet di Marcus Hutchins fanno riferimento alle procedure di imbarco all’aeroporto e risalgono probabilmente a pochi minuti prima dell’arresto.

L’accusa è quella di aver creato il malware e di aver cercato di venderlo online su forum e su Alphabay, il market sul Dark Web che l’FBI ha recentemente chiuso dopo aver arrestato il suo presunto amministratore, morto poi suicida in cella.

I conti tornerebbero, visto che Europol e FBI hanno annunciato la chiusura di Alphabay lo scorso 20 luglio, ma l’operazione sarebbe stata condotta ai primi di luglio.

È probabile, quindi, che i federali abbiano trovato indizi che portavano a Hutchins tra i dati rinvenuti sui server sequestrati in seguito alla chiusura di Alphabay e, dopo una settimana, abbiano spiccato l’ordine di arresto.

L’ordine di arresto nei confronti di Hutchins parte una settimana dopo il sequestro del market sul Dark Web Alphabay. C’è un collegamento?

Tra gli esperti di sicurezza che conoscono il ricercatore inglese, però, c’è un forte scetticismo e molti si dicono convinti che l’FBI stia prendendo una solenne cantonata.

La vicenda, però, è ancora piuttosto intricata. Proprio in queste ore, infatti, ricercatori di sicurezza hanno segnalato il fatto che il denaro raccolto dagli autori di Wannacry è stato spostato dai wallet in cui era fermo da quasi tre mesi.

Si tratta di circa 140.000 dollari in Bitcoin raccolti attraverso i pagamenti di riscatto del ransomware durante i concitati giorni che hanno seguito l’attacco. Ora la somma sarebbe stata convertita in Monero, una cripto-valuta che garantisce un maggior anonimato rispetto ai Bitcoin.

Può sempre trattarsi di un caso, ma la coincidenza tra queste manovre e l’arresto di Hutchins potrebbe suggerire un legame tra i due avvenimenti.

Non solo: nel corso della giornata, è comparso anche un comunicato di John Miller, analista di FireEye, che tra le righe inserisce un commento piuttosto sibillino: “Kronos è stato pubblicizzato su un forum cyber criminale russo da parte dell’attore “VinniK” nel giugno 2014.

Potrà anche questo essere un caso, ma è impossibile non collegare il riferimento ad Alexander Vinnik, il re del riciclaggio di Bitcoin che è stato arrestato in Grecia poco più di una settimana fa e che, secondo le forze di polizia, controllava il 95% dei “prelievi” di Bitcoin ottenuti dai pirati informatici attraverso i ransomware.

Quale sia la verità, lo potremo (forse) scoprire solo quando si verrà a capo di questa vicenda che somiglia sempre più alla trama di un complicatissimo giallo.

Condividi l'articolo