O "herói acidental" do ataque Wannacry foi detido por suspeita de criar vírus

Marcus Hutchins, um investigador em cibersegurança britânico de 23 anos, é suspeito de envolvimento na criação de outros softwares maliciosos destinados a atingir contas bancárias.

Foto
Reuters/KACPER PEMPEL

Um dos responsáveis por travar a difusão mundial do WannaCry, um vírus responsável por um ataque informático à escala global que começou a espalhar-se em Maio, foi detido nos Estados Unidos. Marcus Hutchins, um investigador em cibersegurança britânico de 23 anos, é suspeito de envolvimento na criação de outros softwares maliciosos destinados a atingir contas bancárias, noticia o Guardian.

Segundo uma acusação divulgada pelo Departamento de Justiça norte-americano, Hutchins é acusado de ter ajudado a criar e de espalhar o software apelidado de Kronos entre 2014 e 2015. O Kronos era difundido através do envio de emails com anexos maliciosos que permitiam o roubo de dados como as passwords de contas bancárias online.

O britânico foi acusado, juntamente com outro suspeito que não foi identificado, tendo sido detido no aeroporto de Las Vegas quando se preparava para deixar os EUA depois de ter participado na maior conferência sobre pirataria informática do mundo.

Hutchins ficou conhecido por ter impedido de forma quase acidental a propagação do ataque informático que se alastrou um pouco por todo o mundo. Primeiro em Maio, e depois em Junho, os piratas informáticos utilizaram o WannaCry, infectaram centenas de milhares de computadores por todo o globo, roubando informação e recolhendo milhares de euros em resgates.

O investigador que era até agora conhecido apenas pela sua conta de Twitter @malwaretechblog e o blogue do mesmo nome, detectou que o ransomware (um software malicioso que sequestra os ficheiros de um computador, exigindo dinheiro pelo desbloqueio) estabelecia ligações para endereços web com um nome longo e insólito com a terminação "gwea.com", um domínio que não estava registado e, na prática, era inexistente. Se o programa obtivesse resposta desse domínio, esse seria o sinal para se desligar. Mas o “herói acidental” não percebeu isso de imediato.

“Vi que não estava registado e pensei, ‘acho que vou registar’”, disse na altura ao Daily Beast. De imediato, o servidor para onde o domínio passou a estar apontado começou a receber “cinco ou seis mil ligações por segundo”. Na origem estavam dezenas de milhares de computadores infectados em todo o mundo. Inicialmente, o investigador utilizou esse conjunto de dados apenas para mapear a propagação do poderoso ransomware – uma nova versão de um software conhecido como Wanna Decryptor, Wcry ou WannaCry. Mas ao longo do dia, @malwaretechblog e outros observadores constataram que o ritmo de infecção começou a cair. Foi só então que o blogger percebeu que o domínio que tinha comprado era o interruptor para desligar o programa. A descoberta desta espécie de interruptor não serviu para terminar de vez com o vírus e salvar os computadores infectados mas foi utilizado para diminuir o ritmo da propagação.

Também esta quinta-feira soube-se que o balanço das carteiras digitais associadas ao Wannacry está a zeros. Quase três meses depois do começo do ciberataque à escala mundial – que afectou mais de 200 mil computadores –, os criminosos informáticos movimentaram os fundos: esta quinta-feira, cerca de 118 mil euros em bitcoins (uma divisa digital muito utilizada para transacções ilegai porque facilita o anonimato dos utilizadores) foram retirados das três carteiras online ligadas aos pedidos de resgate, o que não quer dizer que aquelas bitcoins tenham sido convertidas em dinheiro.