UPPDATERAD 08:15 fredag ​​med pressmeddelande från Department of Justice.

Marcus Hutchins, den engelska säkerhetsforskaren som ensam stoppade Vill gråta ransomware-mask i maj, greps i går kväll (aug. 2) av FBI i Las Vegas när han skulle gå ombord på ett plan tillbaka till Storbritannien

Hutchins, centrum, med journalister efter WannaCry-utbrottet. Upphovsman: Marcus Hutchins
(Bildkredit: Hutchins, center, med journalister efter WannaCry-utbrottet. Upphovsman: Marcus Hutchins)

En storjury federal åtal släpptes av justitieministeriet anklagar Hutchins, 23, för att utveckla Kronos banktrojan, som inte är relaterat till WannaCry. Hutchins och en medsvarare vars namn redigerades i åtalet anklagas för att ha sålt och distribuerat banktrojanen i kriminella forum online.

Hutchins, som sedan maj bodde hos sina föräldrar, arbetar på distans för Kryptos Logic, ett informationssäkerhetsföretag i Los Angeles. Han hade varit i Las Vegas för de årliga säkerhetskonferenserna Black Hat och DEF CON, där han hyrde exotiska sportbilar, skott maskingevär vid en skjutbana, träffade journalister, tappade plånboken och tillbringade en natt i en hotelllobby.

MER: Vad du ska göra om du smittas av Ransomware

Anklagas för kodande skadlig kod

Åtalet, utfärdat den 12 juli i den amerikanska tingsrätten i östra distriktet Wisconsin (som inkluderar Milwaukee och Green Bay), listar sex rättegångar mot Hutchins och icke namngiven medsvarande, inklusive "att medvetet orsaka sändning av ett program" som "avsiktligt skulle orsaka skada utan tillstånd till 10 eller fler skyddade datorer. "

Åtalet hävdar också att Hutchins "skapade Kronos malware" och att den 13 juli 2014, "en video som visar funktionaliteten i" Kronos banking Trojan "var publicerad på en offentligt tillgänglig webbplats. "Den videon, som enligt åtalet påstås, publicerades av Hutchins namnlösa medförtalare, fanns på YouTube fram till i eftermiddags (aug. 3).

Samma dag, Hutchins twittrade "Någon som har ett kronprov?"

Två dagar tidigare hade Trusteer, ett israeliskt säkerhetsföretag som nu ägs av IBM, meddelat upptäckten av Kronos på ett ryskt cyberbrottsforum och malwareforskare var angelägna om att få tag på en kopia.

Åtalet fortsätter att hävda att den icke namngivna medförtalaren försökte sälja Kronos skadlig kod i augusti 2014; att Hutchins och medsvaranden uppdaterade Kronos-skadlig programvara i januari 2015; att medsvaranden annonserade Kronos-skadlig programvara på den mörka webben AlphaBay Market i april 2015; att medsvaranden sålde en version av Kronos i juni 2015 "för cirka 2000 dollar i digital valuta"; och att medsvararen i juli 2015 erbjöd "kryptering" -tjänster som skulle kryptera en del av skadlig programvara för att undvika upptäckt med säkerhetsprogramvara.

Förra månaden stängdes AlphaBay Market plötsligt efter att den påstådda skaparen och operatören, en 26-årig kanadensare, arresterades i Thailand och dog i en fängelsecell i Bangkok. Åtalet mot Hutchins och hans medförtalare utfärdades den 11 juli, två dagar före tillkännagivandet att AlphaBay hade slutits.

Felaktig anklagelse?

De flesta aktiviteter relaterade till Kronos skadliga program verkar enbart tillskrivas Hutchins medsvarande; Hutchins själv anklagas endast för att ha utvecklat och uppdaterat skadlig programvara.

På hans blogg, Sa Hutchins att han verkligen skapade enkel skadlig kod för forskningsändamål och släppte en del av koden. Sådan aktivitet är inte ovanlig för legitima forskare inom skadlig programvara.

På hans YouTube-sida, Hutchins visade hur flera typer av skadlig kod fungerade; igen, det är inte ovanligt.

Det är möjligt att något som Hutchins kodade gjorde sin väg till legitim skadlig kod utan hans deltagande eller kunskap. Det kan också vara så att en online-kriminell med ett nag kan felaktigt anklaga Hutchins för liknande aktiviteter.

"Min läsning av åtalet är att @MalwareTechBlog skrev lite kod, men allt annat gjordes av den andra killen," twittrade Rob Graham, medgrundare av Errata Security i Atlanta, idag (aug. 3).

"Det är inte ett brott att skapa skadlig kod. Det är inte ett brott att sälja skadlig kod, säger juristprofessor Orin Kerr Trådbundet i dag. "Det är ett brott att sälja skadlig kod med avsikt att främja någon annans brott. Denna historia ensam passar inte riktigt.

Möjliga tidigare gärningar

Tills Hutchins avmaskerades av Londons tabloider efter WannaCry-utbrottet hade han haft ett produktivt men pseudonymt liv under namnet MalwareTech, som han fortfarande använder idag.

Men en online-diskussion på utvecklarforumet YCombinator band Hutchins till ett äldre onlinehandtag, TouchMe, som tydligen hade erbjudit sig att koda skadlig kod 2013, när Hutchins skulle ha varit 18 eller 19.

TouchMe var användarnamnet för författaren till en blogg som heter TouchMyMalware, som, precis som MalwareTechBlog, undersökte skadlig programvara ur ett white-hat-perspektiv. Det fanns också en associerad Twitter-konto, som senare städades och nu dirigerar läsarna till MalwareTechBlog.

Alla offentliga inlägg som gjorts av TouchMe och TouchMyMalware rör forskning om skadlig programvara, och författaren verkar inte göra något olagligt. Även det påstådda erbjudandet att koda skadlig kod kan ha varit en del av forskningen.

"Han kan ha poserat som en malwareförfattare på underjordiska forum", twittrade forskare om skadlig programvara Martijn Grootjen, en frekvent korrespondent för Hutchins på Twitter, idag. "Många forskare med vit hatt gör det. Inte lätt att bevisa oskuld på detta sätt. "

Oavsiktlig hjälte

Hutchins stoppade av misstag WannaCry-utbrottet den 12 maj när han försökte "sjunka" en av ransomware-maskens kommandostyrningsservrar.

Ransomware var hårdkodad för att få instruktioner från en specifik webbdomän, som Hutchins fann var oregistrerad. Efter att han registrerade domänen och började driva en server på den för att fånga trafik från WannaCry slutade ransomware plötsligt att infektera Hutchins testmaskiner.

Det visade sig att WannaCry hade en inbyggd "kill kill", möjligen för att förhindra upptäckten av malware-forskare, som gör ofta forskning på isolerade virtuella maskiner som efterliknar hela internet utan att vara ansluten till Det.

UPPDATERING: Den amerikanska advokaten för Eastern District of Wisconsin utfärdade en pressmeddelande angående ärendet, men det säger inte så mycket som är nytt, förutom att utredningen leddes av en FBI-cyberbrottsgrupp i Milwaukee.

Vi glömde också att kreditera Joseph Cox av VICE moderkort för att bryta den här historien. Ber om ursäkt och kudos.

  • Se vad som händer när du smittas av WannaCry
  • Bästa antivirusprogram och appar
  • Hur du skyddar din identitet, personuppgifter och egendom