FBI: Entdecker des WannaCry-Abschalters verhaftet
Als sich der Krypto-Trojaner WannaCry im Mai verbreitete, wurde der IT-Sicherheitsexperte Marcus H. zum Held der Stunde, weil er im Code eine Abschaltfunktion entdeckte, die die Angriffswelle eindämmte. Nun wurde er aber in den USA festgenommen. Der Vorwurf: Er soll im Jahr 2014 selbst eine Malware entwickelt und verkauft haben.
Wie zunächst das Tech-Magazin Motherbord berichtete, wurde H. – der auch unter dem Pseudonym MalwareTech bekannt ist – am Mittwoch vom FBI in Las Vegas verhaftet. Der IT-Sicherheitsexperte, der auch den Blog MalwareTech betreibt, hatte zuvor die Hacker-Messen Black Hat und DefCon besucht.
Vorwurf: MalwareTech soll Online-Banking-Trojaner Kronos entwickelt haben
Vorgeworfen wird ihm laut Anklageschrift, in den Jahren 2014 und 2015 die Malware Kronos sowie ein Update entwickelt zu haben. Bei Kronos handelt es sich um einen Online-Banking-Trojaner, der Login-Daten erfasst und mittels Webinjects den Datenaustausch mit den Banken-Webseiten manipuliert, um so die Konten der Opfer zu plündern.
Zusammen mit einem namentlich nicht genannten Partner soll H. die Malware in einem Forum für einen Preis von 2.000 bis 3.000 US-Dollar zum Verkauf angeboten haben. Ebenfalls erwähnt wird der Darknet-Marktplatz AlphaBay, den Ermittlungsbehörden in diesem Jahr geschlossen haben.
Ob konkrete Beweise existieren, ist bislang noch nicht bekannt. Abgesehen von den Vorwürfen bleibt die Anklageschrift vage. Deswegen kursieren auch schon erste Zweifel. Die Süddeutsche Zeitung verweist etwa auf einem Twitter-Beitrag vom Juli 2014. Dort fragte H. nach einem Kronos-Sample, um die Malware selbst analysieren zu können.
Theoretisch ist es also auch möglich, dass H. als Malware-Analyst in das Visier der Behörden geraten ist. Wie das Verfahren weitergeht, wird sich in den nächsten Tagen zeigen.
Der Sicherheitsexperte, der den WannaCry-Notfallschalter entdeckte
Einen Namen machte sich der MalwareTech-Betreiber während der WannaCry-Angriffswelle im Mai. Kurz nach dem ersten Ausbruch des Krypto-Trojaners analysierte er den Code und entdeckte einen Notfallschalter. Denn bevor der WannaCry-Trojaner die Daten auf einem System verschlüsselt, prüfte er zunächst, ob eine bestimmte Domain registriert ist. Ist das nicht der Fall, startet die Malware.
Indem H. die Domain registrierte, aktivierte er diese Abschaltfunktion. Und konnte damit offenbar Schlimmeres verhindern.