Marcus Hutchins
Marcus Hutchins (* 1994), auch online als MalwareTech bekannt, ist ein britischer Computersicherheitsforscher, der dafür bekannt ist, dass er den WannaCry-Ransomware-Angriff vorübergehend gestoppt hat.[1][2] Er ist bei der Cybersicherheitsfirma Kryptos Logic beschäftigt.[3][4] Hutchins stammt aus Ilfracombe in Devon.[5]
Stoppen des WannaCry-Angriffs
Der WannaCry-Kryptowurm-Angriff begann um den 12. Mai 2017; er nutzte eine Schwachstelle im Server Message Block von Microsoft Windows und verbreitete sich schnell von seinem ursprünglichen Einschleusungsort, der vermutlich in Nordkorea lag, innerhalb eines Tages auf über 230.000 Computer in 150 Ländern. Die infizierten Computer waren scheinbar für die Benutzung gesperrt und konnten nur entsperrt werden, wenn der Benutzer eine bestimmte Menge Bitcoin an ein bestimmtes Konto schickte.
Hutchins war am Nachmittag des 12. Mai auf WannaCry aufmerksam geworden, und obwohl er im Urlaub war, begann er von seinem Schlafzimmer aus mit dem Reverse Engineering des Codes. Er entdeckte, dass die Malware mit einem seltsam aussehenden Domain-Namen verbunden war, was darauf hindeutete, dass die Malware Teil einer Befehls- und Kontrollstruktur war, wie sie in Botnets üblich ist, aber zu seiner Überraschung war der Domain-Name nicht registriert. Er registrierte die Domain schnell und richtete innerhalb der Domain Server bei Kryptos Logic ein, die als Honeypots fungierten und es ihnen ermöglichten, die infizierten Computer zu verfolgen. Während sich der WannaCry-Wurm in den nächsten Stunden weiter verbreitete, stellten Sicherheitsforscher fest, dass WannaCry aufgrund der Tatsache, dass Hutchins den Domain-Namen registriert hatte, nicht weiter ausgeführt werden konnte und somit zum Killswitch des Wurms wurde. Hutchins und Kryptos verbrachten zusammen mit dem britischen National Cyber Security Centre die nächsten Tage damit, die Honeypot-Server vor weiteren DDoS-Attacken zu schützen, von denen einige durch laufende Mirai-Botnets neu gestartet wurden, um sicherzustellen, dass der Killswitch aktiv blieb, während Microsoft und andere Sicherheitsmitarbeiter sich beeilten, den Exploit im Server Message Block zu patchen und an die Endbenutzer zu verteilen. In einer separaten Arbeit französischer Cybersecurity-Forscher wurde eine Methode gefunden, betroffene Computer zu entsperren und zu entschlüsseln, ohne das Lösegeld zahlen zu müssen.
Hutchins' Arbeit als MalwareTech, WannaCry zu stoppen, wurde hoch gelobt, was jedoch dazu führte, dass die Presse in den darauffolgenden Tagen Hutchins' Identität hinter MalwareTech herausfand. Hutchins versuchte, der Presse aus dem Weg zu gehen, einschließlich der aufdringlicheren Boulevardzeitungen, die seinen Namen und seine Adresse in Verbindung mit dem Namen MalwareTech veröffentlicht hatten, stimmte jedoch einem einzigen Interview mit Associated Press unter seinem echten Namen zu und versuchte so, die "Helden"-Wahrnehmung zu entschärfen, die ihm gegeben worden war. In dieser Berichterstattung verschwieg er seine Vorgeschichte und gab lediglich an, dass er seinen Job bei Kryptos Logic aufgrund seiner Software-Fähigkeiten und seiner MalwareTech-Blog-Hobbys, die er während der Schulzeit entwickelt hatte, bekommen hatte. Er erlangte eine Art Prominentenstatus innerhalb der Cybersicherheitswelt für seine Aktionen gegen WannaCry, und es wurden Pläne für seine Teilnahme an der DEF CON Cybersicherheitskonferenz 2017 in Las Vegas im August gemacht.
Verhaftung
Am 3. August 2017 wurde Hutchins vom FBI verhaftet, als er sich auf die Rückkehr von der DEF CON nach England vorbereitete. Er wurde wegen sechs Hacking-bezogener Bundesanklagen vor dem U.S. District Court for the Eastern District of Wisconsin angeklagt, weil er Kronos in den Jahren 2014 und 2015 erstellt und verbreitete. Basierend auf Dokumenten, die Vice durch Anfragen nach dem Freedom of Information Act erhielt, brachte das FBI Hutchins mit Kronos in Verbindung, nachdem sie im Juli 2017 die Vermögenswerte von AlphaBay beschlagnahmten, wo sie Beweise für mindestens einen Verkauf von Kronos fanden. Das FBI erhielt Kopien seiner Gespräche mit Randy von einer anderen Dark-Web-Server-Beschlagnahmung vor AlphaBay, um seine Verbindung zu der Software zu beweisen. Diese Verbindung gestand er bei seiner Befragung.
Am 27. Juli 2019 wurde Hutchins vom Gericht zu einer einjährigen Bewährungsstrafe unter Aufsicht verurteilt und kam auf freien Fuß. Seit dem hält er sich in Los Angeles auf.[6][7]
Einzelnachweise
- https://www.theguardian.com/technology/2017/may/22/wannacry-hackers-ransomware-attack-kill-switch-windows-xp-7-nhs-accidental-hero-marcus-hutchins
- https://www.usatoday.com/story/tech/talkingtech/2017/05/23/ransomware-hero-marcus-hutchins-says-tabloids-invaded/102026238/
- https://motherboard.vice.com/en_us/article/ywp8k5/researcher-who-stopped-wannacry-ransomware-detained-in-us-after-def-con
- https://www.bbc.com/news/technology-40833951
- https://www.telegraph.co.uk/news/2017/08/05/wannacry-hero-marcus-hutchins-admitted-creating-code-harvest/
- Mit Ter Richter hat Marcus Hutchins von WannaCry ‘Killer’ auch nicht verurteilt … NWSR.net, 27. Juli 2019, archiviert vom Original am 19. April 2021; abgerufen am 19. April 2021.
- Tilman Wittenhorst: Banking-Malware: WannaCry-Retter Marcus Hutchins muss nicht ins Gefängnis. Er fand den "Kill-Switch" in der Malware WannaCry – das kommt dem Autor der Kronos-Malware nun zugute. Ein Richter in den USA erließ Hutchins eine Haftstrafe. Heise.de, 27. Juli 2019, archiviert vom Original am 19. April 2021; abgerufen am 19. April 2021.