Aki kicsit is követte az IT-biztonsági híreket, értesülhetett róla, micsoda pánikot váltott ki egy zsarolóprogram tavasszal. A köztudatba májusban berobbant WannaCry digitális kártevőt végül egy banális húzással tudta megfékezni egy szakértő. Ám ahelyett, hogy a dicsőségkönyvekbe került volna tettéért, nemrég az amerikai Szövetségi Nyomozóiroda ügynökei tartóztatták le.

Egyszerű trükkel leállított digitális kártevő

Május 12-én indult egy minden eddiginél brutálisabb ransomware-támadás. A zsarolóprogram forrása állítólag az NSA-tól került ki, még akkor, amikor máig ismeretlen hackerek tokkal-vonóval elvitték az NSA kiberarzenálját. A helyzet annyira súlyos volt, hogy még a magyar kormány is riasztást adott ki, sőt egy blogbejegyzésben is részletezte a problémát.

A WannaCry sikeréhez persze az is kellett, hogy a hackerek találjanak egy olyan rést a Windowsban, ami segített a rendszerekbe való behatolásban. Fertőzést követően megkereste és titkosította a számára érdekes állományokat, utána pedig megjelenítette a követeléseit. Annyira sikeres volt, hogy pár napon belül az "árfolyama" is emelkedett: eredetileg 300 dollárnak megfelelő bitcoint követelt a titkosítás feloldásáért, de aztán a dupláját kérte.
 

Végül egy nagyon egyszerű lépéssel sikerült elejét venni további terjedésének. Marcus Hutchins (MalwareTech) a kódelemzés során rájött, hogy egy úgynevezett kill-switch van beépítve a malware-be. A kapcsoló akkor aktiválódott, amikor egy bizonyos, addig be nem jegyzett domain megjelent a világhálón – ezt felismerve az IT-biztonsági kutató regisztrálta a fertőzést leállító domainnevet.

Ám ahelyett, hogy a világ egyöntetűen őt ünnepelné, meglepően dicstelen fordulatot vett Hutchins sorsa a minap.

Rablóból lesz a legjobb pandúr. Csak közben rabló marad...

Las Vegasból, a négynapos Defcon hackerkonferenciáról tartott (volna) hazafelé Nagy-Britanniába a férfi, amikor a szövetségi ügynökök a McCarran Nemzetközi Repülőtéren megállították és letartóztatták (nyitóképünk illusztráció). Az éppen beszállásra várakozó Hutchins azért került őrizetbe, mert a vád szerint saját számítógépes vírust készített.

Pontosabban a Kronos létrehozásával és terjesztésével vádolják a férfit. A banki trójai még 2014-ben jelent meg abból a célból, hogy pénzt szerezzen az online bankolóktól. Felhasználónevek és jelszavak banki oldalakon való ellopása volt a digitális kártevő fő feladata, árulta el az amerikai Igazságügyi Minisztérium. Állításuk szerint a trójait nem csak az Egyesült Államokban, hanem Kanadában, Németországban, Lengyelországban, Franciaországban és az Egyesült Királyságban is bevetették az internetezők ellen.

Hutchins vádirata szerint az IT-biztonsági szakértő és egy meg nem nevezett társa a darkneten értékesítette a Kronost (valamikor 2014 júliusa és 2015 júliusa között), nyilván nem mimózalelkű tizenéves érdeklődök számára adva el a malware-t. Ennek következményeként számítógépes csalással és visszaéléssel vádolják a britet, illetve az elektronikus kommunikáció lehallgatására alkalmas eszközök terjesztésének és az engedély nélküli számítógépes hozzáférésének tételét szintén a nyakába akarják varrni.

Már két éve zajlik egyébként a nyomozás a Kronos alkotójával szemben. Hutchins ellen július 12-én adták ki a körözést, azaz kilenc nappal azelőtt, hogy megérkezett volna az amerikai Defcon rendezvényre. Mindenképpen érdekes, hogy az intézkedést követően miként juthatott át a határellenőrzésen és tölthetett el hosszú napokat az Államokban anélkül, hogy a hatóságok léptek volna. Az is kérdés – bár választ valószínűleg sosem kapunk majd -, hogy miért csak a legutolsó pillanatban vették őrizetbe a férfit.