Mladíka, ktorý zastavil červa WannaCry, obvinili z napísania iného škodlivého kódu

Značky: bezpečnosťWannaCry / WannaCryptUSA

DSL.sk, 4.8.2017

Britského mladíka Marcusa Hutchinsa, ktorý v máji do značnej miery náhodou zabránil šíreniu nebezpečného masovo útočiaceho šifrujúceho červa WannaCry a ktorého v stredu zatkla FBI, USA obvinili z napísania a distribuovania iného škodlivého kódu.

23-ročný Hutchins vystupujúci pod prezývkou MalwareTech mal podľa obvinenia vytvoriť tzv. bankového trojana Kronos.

Kronos po nainštalovaní na počítač odchytáva prihlasovacie údaje do internet bankingov napísané užívateľom vo webových prehliadačoch a zasiela ich na centrálny server. Cieľom útočníkov je samozrejme následne pomocou týchto údajov kradnúť prostriedky z bankových účtov.

Podľa zverejneného obvinenia, ktoré je pomerne stručné a detailne nepopisuje jednotlivé dôkazy ako v iných podobných prípadoch, následne po vytvorení Kronosu spolupracoval Hutchins s ďalšou osobou na ponúkaní tohto trojana záujemcom za cenu 2 až 3 tisíc dolárov.

K propagácii a predajom trojana uvádzaným v obvinení prišlo od júla 2014 do júla 2015, koľkým záujemcom Kronos predali obvinenie neuvádza. Trojan bol ponúkaný ale aj na trhovisku AlphaBay, ktoré na začiatku júla USA rozložili. Obvinenie Hutchinsa prišlo týždeň po rozložení AlphaBay a pravdepodobne s ním súvisí.

Identita druhého obvineného je v zverejnenom obvinení cenzurovaná.

Hutchins bol zatknutý podľa dostupných informácií krátko pred odletom späť do Británie, v USA bol kvôli účasti na dvoch hackersko-bezpečnostných konferenciách Black Hat a Def Con konaných minulý týždeň.

Ilustračný obrázok, screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)

Hutchins sa stal známym vďaka zastaveniu šírenia šifrujúceho červa WannaCry, ku ktorému prišlo do značnej miery náhodou.

Červ WannaCry zneužívajúci chybu vo Windows sa efektívne šíril 12. mája, pričom na infikovaných počítačoch šifroval súbory a požadoval výkupné vo výške 300 dolárov. Ďalšie informácie o červe sme priniesli v tejto sérii článkov.

Ako sme detailne informovali v tomto článku, šírenie červa bolo pomerne rýchlo zastavené Hutchinsom vďaka stále definitívne nevysvetlenému kill switchu prítomnému v červovi.

Hutchins identifikoval doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ktorú červ kontaktoval. Keďže doména bola voľná, zaregistroval ju.

Ako priznal, v čase registrácie nevedel aký účel plní. Až následne analýza ukázala, že táto doména reálne funguje ako mechanizmus pre zastavenie šírenia červa. Červ sa po spustení na novom infikovanom systéme pokúsi doménu kontaktovať a ak existuje a webový server vráti platný dokument, skončí, neinfikuje počítač ani nezačne infikovať ďalšie.




Najnovšie články:



Diskusia:

Threat Intelligence Od: USAfu... | Pridané: 4.8.2017 8:37 Ten mladík, ktorý zastavil WannaCry svoj job zhodnotil očividne dosť presne už minulý mesiac :D http://dopice.sk/MalwareTechBlog Odpovedať Známka: -2.0 Hodnotiť:

Re: Threat Intelligence Od: bublina ina | Pridané: 4.8.2017 14:24 Mal pouzit skype a necestovat do USA. Zbytocne vyprodukoval CO2. Odpovedať Známka: 10.0 Hodnotiť:

tazko povedat Od: ... | Pridané: 4.8.2017 8:38 Neviem, akosi neverim verzii, ze chalan napise kod, ktory odchytava taketo informacie a nasledne ho predava za taketo smiesne sumy. Ak to funguje, ma to ovela vyssiu cenu, ak to nefunguje, nedoslo k ziadnej skode. Nahoda byva svina, ale minimalne to smrdi. Odpovedať Známka: 0.0 Hodnotiť:

Re: tazko povedat Od: USAfu... | Pridané: 4.8.2017 8:48 Je to celé postavene na hlavu. Pýtal by si si od komunity sample vlastného malware? http://dopice.sk/MalwareTechBlog2 Odpovedať Známka: -2.5 Hodnotiť:

Re: tazko povedat Od: čorv | Pridané: 4.8.2017 11:54 prihlasovacie údaje samé o sebe na vybielenie bankového účtu nestačia Odpovedať Známka: 10.0 Hodnotiť:

tí zhora Od: __LM__ | Pridané: 4.8.2017 9:12 čo tí kokoti v tom darknete robia? Odpovedať Známka: 7.8 Hodnotiť:

Re: tí zhora Od: in2desire | Pridané: 4.8.2017 10:39 ... kazdopadne neonanujeme! 01000110 01110101 01100011 01101011 00100000 01010101 00100001 Odpovedať Známka: 0.0 Hodnotiť:

Re: tí zhora Od: 778965874 | Pridané: 4.8.2017 13:52 01100011 01100001 01101011 01100001 01101010 01110101 01011111 01101110 01100001 01011111 01111010 01101111 01110100 01101101 01100101 01101110 01101001 01100101 Odpovedať Známka: 3.3 Hodnotiť:

Re: tí zhora Od: in2desire | Pridané: 4.8.2017 14:20 00100000 00111010 01000100 00100000 01101110 01100101 01110100 01110010 01100101 01100010 01100001 00100000 00101110 00101110 00100000 01110100 01100001 01101101 00100000 01110011 01101100 01101110 01101011 01101111 00100000 01101110 01100101 01110110 01111001 01100011 01101000 01100001 01100100 01111010 01100001 00100000 00101110 00101110 00101110 Odpovedať Známka: 0.0 Hodnotiť:

Re: tí zhora Od: Kraken000001010 | Pridané: 4.8.2017 22:26 cakaju na hotovy papier Odpovedať Hodnotiť:

Re: tí zhora Od: Mxxl | Pridané: 7.8.2017 11:28 01101111 00100000 01100011 01101111 00100000 01110110 00100000 01110100 01100101 01101010 01110100 01101111 00100000 01100100 01101001 01110011 01101011 01110101 01110011 01101001 01101001 00100000 01111010 01100001 01110011 00100000 01101001 01100100 01100101 00111111 Odpovedať Hodnotiť:

Titulok: Od: Meno: | Pridané: 4.8.2017 20:07 Nieco na neho nasit museli. To je nieco podobne ako ked ti stara pri hadke povie ze si v roku 1998 nevyniesol smetny kos. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár