Marcus Hutchins

Investigador y experto británico en seguridad informática (nacido en 1994)

Marcus Hutchins (nacido en 1994), también conocido en línea como MalwareTech , es un investigador de seguridad informática británico conocido por detener el ataque del ransomware WannaCry . ^{[1] [2]} Trabaja para la empresa de ciberseguridad Kryptos Logic. ^{[3] [4]} Hutchins es de Ilfracombe en Devon . ^[5]

Primeros años de vida

Hutchins es el hijo mayor de Janet Hutchins, una enfermera escocesa, y Desmond Hutchins, un trabajador social jamaiquino. Alrededor de 2003, cuando Hutchins tenía nueve años, los padres trasladaron a la familia de la zona urbana de Bracknell , cerca de Londres, a la zona rural de Devon . ^[6] Hutchins había demostrado una aptitud temprana con las computadoras y aprendió habilidades de piratería simples desde el principio, como eludir la seguridad de las computadoras de la escuela para instalar software de videojuegos. ^[6] Además, pasó tiempo aprendiendo a ser socorrista de surf. ^[6]

Se involucró en un foro en línea que promovía el desarrollo de malware , más como un medio para mostrar sus habilidades entre sí que con fines nefastos. Cuando tenía unos 14 años, creó su propia contribución, un ladrón de contraseñas basado en la función de Autocompletar de Internet Explorer , que recibió la aprobación del foro. Pasó gran parte de su tiempo con esta comunidad hasta el punto en que su trabajo escolar comenzó a fallar. ^[6] Cuando los sistemas de la escuela se vieron comprometidos, las autoridades escolares afirmaron que Hutchins era el culpable. Aunque negó cualquier participación, las autoridades escolares lo suspendieron permanentemente del uso de las computadoras en la escuela, lo que empujó aún más a Hutchins a faltar a la escuela con más frecuencia y pasar más tiempo en los foros de malware. ^[6]

Carrera

Kit UPAS y Kronos

En esa época, los foros originales sobre malware habían sido cerrados y Hutchins fue transferido a otra comunidad de hackers, HackForums. En este nuevo foro, se esperaba que los miembros demostraran más habilidad demostrando la posesión de una botnet . Hutchins, que tenía 15 años en ese momento, creó con éxito una botnet de 8.000 computadoras para HackForums engañando a los usuarios de BitTorrent para que ejecutaran sus archivos falsos para tomar el control de sus máquinas. ^[6] A partir de este exploit, Hutchins vio oportunidades financieras para sus habilidades de piratería, aunque en ese momento no sintió que estuvieran vinculadas a ningún tipo de ciberdelito , como afirmó en una entrevista de 2020. ^[6] Estas actividades incluían la configuración de alojamiento web "fantasma" para otros en HackForums para "todos los sitios ilegales" excepto pornografía infantil, y la creación de malware personalizado, a menudo basado en la evaluación de cómo funcionaban los rootkits de otros . ^[6]

Según Hutchins en entrevistas posteriores y en su acuerdo de culpabilidad, cuando tenía alrededor de 16 años, habiendo ganado una reputación en los círculos de piratería por su malware personalizado, fue abordado por una entidad en línea que solo conocía como "Vinny", quien le pidió que escribiera un rootkit bien mantenido y multifacético que pudiera venderse en múltiples mercados de piratas informáticos, y que Hutchins recibiera la mitad de las ganancias de cada venta. Hutchins estuvo de acuerdo y, a mediados de 2012, había completado la escritura de UPAS Kit, llamado así por el árbol venenoso upas . ^[6] Durante este período, Hutchins se había quejado una vez en sus conversaciones con Vinny sobre la falta de buena marihuana en el país. Vinny le pidió su dirección, que Hutchins le dio, y más tarde, en su cumpleaños número 17, recibió un paquete lleno de varias drogas recreativas. ^[6] Las ventas de UPAS Kit le generaron a Hutchins miles de dólares a través de bitcoin , lo que le permitió abandonar la escuela y vivir una vida cómoda, aunque mantuvo en secreto la naturaleza de su trabajo a su familia. [ ^6]

Vinny volvió poco después a Hutchins para pedirle que escribiera UPAS Kit 2.0, añadiendo específicamente keylogging e inyección web para las páginas de formularios del navegador. En ese momento, Hutchins reconoció que estas características probablemente estaban destinadas a atacar transacciones financieras en sitios web bancarios, y por lo tanto estaría facilitando el cibercrimen si escribía la actualización. ^[6] Hutchins le dijo a Vinny que se negaba a escribir ese código, pero Vinny lo retuvo por el hecho de que sabía su fecha de nacimiento y dirección por su regalo anterior de drogas recreativas y estaba dispuesto a dárselas al FBI si Hutchins no cooperaba. ^[6] Hutchins llegó a un acuerdo para añadir el keylogging a UPAS Kit 2.0, pero omitió todo lo relacionado con la inyección web, que tardó otros nueve meses en completarse.

Después de esto, Vinny le dijo que había contratado a otro programador para actualizar UPAS Kit con las inyecciones web, y ahora quería que Hutchins y este programador trabajaran juntos para combinar el código en un solo paquete. Aunque estaba éticamente dividido sobre la decisión, Hutchins optó por seguir trabajando con Vinny para al menos asegurarse de que le pagaran por el trabajo que ya había hecho, aunque pospuso todo lo que pudo. ^[6] El nuevo código se completó en junio de 2014, y cuando Vinny comenzó a venderlo en la web oscura, renombró UPAS Kit 2.0 a Kronos , basado en el titán mitológico griego . ^[6]

MalwareTech y Kryptos Logic

Hutchins había ingresado a la universidad comunitaria ^[a] y estaba luchando entre completar su último año de trabajo y las correcciones a Kronos exigidas por Vinny, complicadas aún más con una adicción a las drogas que adquirió mientras trabajaba en Kronos. ^[6] Durante este tiempo, conoció a una persona que conocía como "Randy" en línea a través de foros de piratería. Randy, que estaba basado en Los Ángeles, había buscado un rootkit bancario como Kronos, que Hutchins no mencionó, pero que condujo a conversaciones más largas para descubrir que Randy tenía objetivos más filantrópicos. Para ayudar a Randy, Hutchins se ofreció a ayudarlo con el comercio de bitcoins. Sin embargo, una falla de energía una noche hizo que Hutchins perdiera más de US $ 5,000 de bitcoins de Randy y, a cambio, Hutchins reveló su conexión con Kronos y le ofreció una copia gratuita a Randy. Después de haber completado ese trato, Hutchins se dio cuenta del error que había cometido al revelar esto a un extraño y comenzó a temer que la policía se acercara a él. ^[6]

Hutchins se graduó de la universidad comunitaria en 2015 y abandonó su adicción a las drogas de golpe . Aplazó las solicitudes de Vinny para actualizaciones de Kronos alegando que estaba ocupado con el trabajo escolar, hasta que pronto las solicitudes se detuvieron, así como cualquier otro pago de Vinny. ^[6] Después de varios meses de pavor, decidió comenzar un blog escrito de forma anónima sobre análisis profundo de hacks que llamó MalwareTech, basado en lo que había aprendido evaluando los rootkits de otros y su propio trabajo en UPAS Kit y Kronos, aunque no dijo nada de su conexión con estos rootkits. ^[6] A medida que aparecieron nuevos rootkits, Hutchins comenzó a realizar ingeniería inversa de ellos y a escribir los detalles sobre MalwareTech, como la botnet Kelihos y Necurs , y escribió su propio servicio de seguimiento de botnets que podía unirse a la botnet y monitorear qué operaciones estaban haciendo los controladores de las botnets. ^[6] Sus escritos atrajeron el interés del CEO de Kryptos Logic, Salim Neino, quien le ofreció un trabajo al escritor.

Hutchins aceptó; mientras aún trabajaba desde Ilfracombe, haría ingeniería inversa de nuevas botnets y proporcionaría la información detallada a Kryptos Logic mientras escribía sobre la funcionalidad de alto nivel que había descubierto para MalwareTech, mientras que Kryptos Logic monitorearía las botnets en busca de amenazas de ciberseguridad en curso. ^[6] A través de esta relación, la reputación de Hutchins a través de su identidad MalwareTech creció, siendo llamado un "sabio de la reversión" por un ex pirata informático de la NSA , aunque solo unos pocos asociados en Kryptos sabían su verdadera identidad. ^[6] Hutchins y Kryptos Logic fueron fundamentales para detener una rama del ataque de denegación de servicio distribuido (DDoS) /botnet Mirai en 2016 que había afectado a Lloyds Bank , ^{[7] [8]} ya que Hutchins había podido suplicarle al pirata informático detrás de él, una vez que lo había rastreado, con sus propias experiencias para convencerlo de detener la botnet. ^[6]

Quiero llorar

El ataque del ransomware WannaCry comenzó alrededor del 12 de mayo de 2017; utilizando un exploit en el bloque de mensajes del servidor de Microsoft Windows , se propagó rápidamente desde su punto de inyección inicial, que se cree que fue Corea del Norte, a más de 230.000 computadoras en 150 países en el transcurso del día. Las computadoras infectadas aparentemente quedaron bloqueadas y solo podían desbloquearse si el usuario enviaba una cantidad de Bitcoin a una cuenta determinada. ^{[9] [10]}

Hutchins se había percatado de WannaCry la tarde del 12 de mayo y, aunque estaba de vacaciones, comenzó a aplicar ingeniería inversa al código desde su dormitorio. Descubrió que el malware estaba vinculado a un nombre de dominio de aspecto extraño , lo que sugería que el malware sería parte de una estructura de comando y control común en las redes de bots, pero para su sorpresa, el nombre de dominio no estaba registrado. Rápidamente registró el dominio y configuró servidores en Kryptos Logic dentro de él para que actuaran como honeypots , lo que les permitía rastrear las computadoras infectadas. Si bien el gusano WannaCry continuó propagándose durante las siguientes horas, los investigadores de seguridad descubrieron que debido a que Hutchins había registrado el nombre de dominio cuando lo hizo, WannaCry no se ejecutaría más, convirtiéndose efectivamente en el interruptor de apagado del gusano . ^{[6] [11]} Hutchins y Kryptos, junto con el Centro Nacional de Seguridad Cibernética del Reino Unido , pasaron los siguientes días manteniendo los servidores honeypot bajo control ante ataques DDoS adicionales, algunos reiniciados por botnets Mirai en curso para asegurarse de que el interruptor de seguridad permaneciera activo mientras Microsoft y otros trabajadores de seguridad se apresuraban a parchar el exploit en el Bloque de Mensajes del Servidor y enviarlo a los usuarios finales. ^{[6] [12] [13]} Un esfuerzo separado de investigadores franceses de ciberseguridad encontró un método para desbloquear y descifrar las computadoras afectadas sin tener que pagar el rescate. ^[14]

El trabajo de Hutchins, como MalwareTech, para detener a WannaCry, fue muy elogiado, pero esto llevó a que la prensa descubriera la identidad de Hutchins detrás de MalwareTech en los días siguientes. ^{[15] [16]} Hutchins trató de evitar a la prensa, incluidos los tabloides más invasivos que habían publicado su nombre y dirección vinculados al nombre MalwareTech, ^[17] aunque aceptó una sola entrevista de Associated Press bajo su nombre real, tratando de desactivar la percepción de "héroe" que le habían dado. ^[18] En esta cobertura, mantuvo su historia pasada en silencio, simplemente declarando que consiguió su trabajo con Kryptos Logic en función de sus habilidades de software y los pasatiempos de blog de MalwareTech que desarrolló durante la escuela. ^[17] Obtuvo una especie de estatus de celebridad dentro del mundo de la ciberseguridad por sus acciones contra WannaCry, y se hicieron planes para que asistiera a la conferencia de ciberseguridad DEF CON 2017 en Las Vegas ese agosto. ^[6]

Detención

El 3 de agosto de 2017, Hutchins fue arrestado por el FBI mientras se preparaba para regresar a Inglaterra desde DEF CON por seis cargos federales relacionados con piratería en el Tribunal de Distrito de los EE. UU. para el Distrito Este de Wisconsin por crear y difundir Kronos en 2014 y 2015. ^{[19] [20] [21]} Con base en documentos obtenidos por Vice a través de solicitudes de la Ley de Libertad de Información , el FBI había vinculado a Hutchins con Kronos después de que habían confiscado los activos de AlphaBay en julio de 2017, donde encontraron evidencia de al menos una venta de Kronos. ^[22] El FBI había obtenido copias de sus conversaciones con Randy de otra incautación de servidor web oscuro antes de AlphaBay para demostrar su conexión con el software, ^[22] lo que confesó mientras era interrogado. ^[6]

Hutchins pasó la noche en una cárcel de Las Vegas después de llamar a Neino para contarle su difícil situación. Neino alertó a sus propios asociados, lo que desencadenó una cadena de alertas en toda la comunidad de ciberseguridad sobre la situación de Hutchins, aunque muchos creyeron erróneamente que el arresto se debía a los ataques de WannaCry. Una gran cantidad de trabajadores de ciberseguridad y piratas informáticos acudieron en su ayuda para pagar la fianza de Hutchins, aunque como algunas de las contribuciones incluían tarjetas de crédito robadas y bitcoins, se levantaron más sospechas sobre las actividades de Hutchins; finalmente, Tarah Wheeler y su esposo Deviant Ollam pudieron adelantar el dinero de la fianza y ayudar a Hutchins a encontrar un lugar en Los Ángeles para vivir, ya que se le prohibió salir del país. ^[6]

En su comparecencia, se declaró inocente de los cargos y fue puesto bajo arresto domiciliario en Los Ángeles, inicialmente con estrictos límites de toque de queda y monitoreo GPS , pero estos se levantaron después de unos meses. ^{[23] [24]} Hutchins tenía la intención de que su "no culpable" se usara como parte de un acuerdo de culpabilidad con el FBI, en lugar de negar cualquier participación con Kronos, aunque algunos en la comunidad de hackers tomaron esto como su negación y lucharon vocalmente por la liberación de Hutchins por esta afirmación. ^[6]

A principios de 2018, el FBI comenzó a negociar con Hutchins, ya que deseaban obtener información que tenía sobre Vinny y varios otros piratas informáticos que conocía, y le ofrecieron reducir su sentencia a una pena de prisión de cero. Hutchins no pudo proporcionar ninguna información significativa sobre Vinny y no quiso revelar información sobre los otros piratas informáticos, por lo que rechazó la oferta. ^[6] El FBI agregó cuatro cargos a su acusación en junio de 2018, lo que sus abogados le dijeron a Hutchins que era una respuesta a rechazar su oferta. ^[25]

El 19 de abril de 2019, Hutchins se declaró culpable de dos de los diez cargos, conspirar para cometer fraude electrónico, así como distribuir, vender, promover y publicitar un dispositivo utilizado para interceptar comunicaciones electrónicas. ^[26] Su declaración incluyó la cita "Lamento estas acciones y acepto toda la responsabilidad por mis errores. Habiendo crecido, desde entonces he estado usando las mismas habilidades que usé mal hace varios años con fines constructivos". ^[27] Hutchins se enfrentó a hasta cinco años de prisión y $ 250,000 en multas por los dos cargos. ^[28] El 26 de julio de 2019, el juez Joseph Peter Stadtmueller condenó a Hutchins a tiempo cumplido y un año de libertad supervisada, reconociendo que Hutchins había "dado vuelta la esquina" de usar sus habilidades con fines delictivos a usos beneficiosos mucho antes de haber enfrentado la justicia. ^{[29] [6]}

Según un perfil de Wired de 2020 , Hutchins declaró que, si bien prefería quedarse en Los Ángeles, esperaba que después del año de libertad supervisada lo deportaran de regreso al Reino Unido, ya que había excedido su visa de viaje hacía mucho tiempo . ^[6]

Notas

1. En Inglaterra, los colegios comunitarios pueden ofrecer títulos de educación secundaria , es decir , niveles A , certificación técnica y/o títulos de educación superior .

Referencias

1. Gibbs, Samuel (22 de mayo de 2017). «Los piratas informáticos de WannaCry siguen intentando revivir el ataque, dice un héroe accidental». The Guardian . ISSN  0261-3077 . Consultado el 6 de agosto de 2017 .
2. Weise, Elizabeth (23 de mayo de 2017). "Su vida se volvió extraña después de salvar Internet: el héroe del ransomware Marcus Hutchins". USA TODAY . Consultado el 6 de agosto de 2017 .
3. Cox, Joseph (3 de agosto de 2017). "Investigador que detuvo el ransomware WannaCry detenido en Estados Unidos después de Def Con". Motherboard . Consultado el 6 de agosto de 2017 .
4. "Fijaron una fianza de 30.000 dólares para el experto cibernético del Reino Unido Marcus Hutchins". BBC News. 5 de agosto de 2017. Consultado el 6 de agosto de 2017 .
5. "El héroe de WannaCry, Marcus Hutchins, admitió haber creado un código para recopilar datos bancarios", según informó el tribunal. The Telegraph . Press Association. 5 de agosto de 2017. ISSN  0307-1235 . Consultado el 16 de abril de 2018 .
6. Greenberg, Andy (12 de mayo de 2020). «Las confesiones de Marcus Hutchins, el hacker que salvó Internet». Wired . Archivado desde el original el 12 de mayo de 2020. Consultado el 4 de octubre de 2023 .
7. Cox, Joseph (3 de octubre de 2016). "Aquí tienes un mapa en tiempo real del malware Mirai que infecta al mundo". Vice . Consultado el 16 de mayo de 2020 .
8. Franceschi-Bicchierai, Lorenzo (29 de noviembre de 2016). «Parece que dos piratas informáticos han creado una nueva botnet masiva para Internet de las cosas». Vice . Consultado el 16 de mayo de 2020 .
9. "Ciberataque: Europol afirma que fue de una escala sin precedentes". BBC News . 13 de mayo de 2017 . Consultado el 13 de mayo de 2017 .
10. "Un ciberataque 'sin precedentes' afecta a 200.000 personas en al menos 150 países y la amenaza está aumentando". CNBC. 14 de mayo de 2017. Archivado desde el original el 15 de mayo de 2017. Consultado el 16 de mayo de 2017 .
11. Newman, Lily Hay (13 de mayo de 2017). "Cómo un 'interruptor de seguridad' accidental desaceleró el ataque masivo de ransomware del viernes". Wired . Consultado el 16 de mayo de 2020 .
12. "Encontrar el interruptor de seguridad para detener la propagación del ransomware". ncsc.gov.uk . Archivado desde el original el 23 de marzo de 2019 . Consultado el 21 de mayo de 2017 .
13. Cheshire, Tom (17 de mayo de 2017). "Sky Views: Stop the cyberattack blame game" (Puntos de vista del cielo: detengan el juego de culpas por los ciberataques). Sky News . Consultado el 21 de mayo de 2017 .
14. Auchard, Eric (19 de mayo de 2017). «Investigadores franceses encuentran la manera de desbloquear WannaCry sin pedir rescate». Reuters . Consultado el 19 de mayo de 2017 .
15. Weise, Elizabeth (13 de mayo de 2017). «Cómo un joven de 22 años detuvo sin darse cuenta un ciberataque mundial». USA Today . Consultado el 16 de mayo de 2020 .
16. Khomami, Nadia; Solon, Olivia (13 de mayo de 2020). «Un 'héroe accidental' detiene un ataque de ransomware y advierte: esto no ha terminado». The Guardian . Consultado el 13 de mayo de 2020 .
17. Khomami, Nadia (22 de mayo de 2017). "El héroe del ataque de ransomware condena a los tabloides 'superinvasivos'". The Guardian . Consultado el 16 de mayo de 2020 .
18. Kirka, Danica (15 de mayo de 2017). "Entrevista de AP: un experto que superó un ciberataque dice que no es un héroe". Associated Press . Consultado el 15 de mayo de 2020 .
19. Hern, Alex; Levin, Sam (3 de agosto de 2017). «Británico que detuvo el ataque de WannaCry arrestado por acusaciones separadas de malware». The Guardian . ISSN  0261-3077 . Consultado el 6 de agosto de 2017 .
20. Ram, Aliya (5 de agosto de 2017). «Investigador británico en materia de ciberseguridad comparece ante un tribunal estadounidense». Financial Times . Consultado el 6 de agosto de 2017 .
21. Kerr, Orin (3 de agosto de 2017). "La acusación contra Kronos: ¿es un delito crear y vender malware?". The Washington Post . Consultado el 4 de agosto de 2017 .
22. Wheeler, Marcy (7 de septiembre de 2017). "¿Por qué el FBI realmente persigue al investigador que detuvo a WannaCry?". Vice . Consultado el 16 de mayo de 2020 .
23. Thomson, Iain (4 de agosto de 2017). «Marcus Hutchins, el asesino de WannaCry, se declara inocente de las acusaciones de malware». The Register . Consultado el 6 de agosto de 2017 .
24. Farivar, Cyrus (20 de octubre de 2017). "Juez: MalwareTech ya no está bajo toque de queda, monitoreo GPS [Actualizado]". Ars Technica . Consultado el 11 de junio de 2018 .
25. Heller, Michael (8 de junio de 2018). «La nueva acusación contra MalwareTech añade cuatro cargos más». TechTarget . Consultado el 11 de junio de 2018 .
26. Distrito Este de Wisconsin (19 de abril de 2019). "Declaración de culpabilidad 19 de abril de 2019" . Consultado el 4 de octubre de 2023 en scribd.com.
27. Thomson, Iain (19 de abril de 2019). «Marcus Hutchins, el asesino de WannaCry, se declara culpable de dos cargos de creación de malware bancario». The Register . Consultado el 4 de octubre de 2023 .
28. Palko Karasz (20 de abril de 2019). "Detuvo un ciberataque global. Ahora se declara culpable de escribir malware". The New York Times . Consultado el 4 de octubre de 2023 .
29. Moreno, Ivan (26 de julio de 2019). «No habrá prisión para el ciberexperto británico en caso de malware». Washington Post . AP. Archivado desde el original el 26 de julio de 2019 . Consultado el 4 de octubre de 2023 .