[dropcap]M[/dropcap]arcus Hutchins, conocido como MalwareTech, es un chico de 22 años, británico, aficionado al surf, la pizza y pokemon, el héroe que le puso fin temporalmente al ataque de ransomware WannaCry.
Hutchins vive en North Devon, Inglaterra, y trabaja en la firma de seguridad Cibernética Kryptos Logic, con sede en Los Ángeles. Dirige un blog de tecnología llamado MalwareTech en el que detalla cómo lo hizo. Hutchins está trabajando actualmente con el Centro Nacional de Seguridad Cibernética del gobierno británico para asegurar que otros ciberataques más poderosos del mismo grupo puedan ser frustrados.
[pullquote-left]Mientras estaba en la escuela, fue acusado de hackear el sistema informático de la escuela.
[/pullquote-left]Después de encontrar la cura contra el Ransomware WannaCry, HackerOne le recompensó con un cheque de 10.000 USD. Hutchins planea donarlo a una organización benéfica.
Marcus Hutchins encontró inadvertidamente activó un «kill switch» en el software malicioso que causó estragos en organizaciones incluyendo el Servicio Nacional de Salud del Reino Unido el viernes 12 de mayo de 2017.
Con ayuda de un «colega investigador», identificado como Kafeína, Hutchins se hizo de una muestra del software maligno. Tomando sus precauciones, el joven hacker analizo la muestra y descubrió algo que no esperaba: «Vi que remitía a un dominio sin registrar, y lo registré sobre la marcha».
Diez euros le costó la proeza al héroe anónimo, que en esos momentos ignoraba realmente lo que había provocado: «Registrar dominios es una parte habitual de mi trabajo para intentar contrarrestar los virus informáticos, “pero confieso que no sabía que registrar ese dominio en particular serviría para parar el malware«. Ryan Kalember, de la firma Proofpoint, fue uno de los analistas a los que consultó el propio Hutchins en el momento de su análisis.
«El dominio fue creado (dentro del código del wannacry) por los responsables del virus, posiblemente como una especie de medida de desactivación del ataque», explica Kalember, que se refiere a su joven colega por su nombre de guerra. «Cuando me contactó, @MalwareTechBlog no sabía realmente el alcance de lo que había hecho, aunque en el fondo sospechaba que había dado con algo importante y buscaba la opinión de otros expertos. Pese a la competencia entre las compañías, nuestra comunidad es en realidad muy colaborativa y siempre buscamos apoyos».
Desde el otro lado del Atlántico, el director ejecutivo de Kryptos Logic, Salim Neino, vigilaba con curiosidad los logros de su pupilo. En esos momentos, el virus ya se había propagado por más de 100 países (más de 150 al final) y había infectado a decenas de miles de sistemas, de Rusia a China, pasando por España.
El ransomware (que secuestraba archivos de los ordenadores y pedía rescates de 300 a 600 dólares en bitcoins para poder recuperarlos) afectó sobre todo a Europa y Asia, pero ya empezaba a abrirse paso en América.
«No soy un héroe», advierte Hutchins en el primer vídeo grabado en la intimidad de su «cueva» informática. «Soy simplemente alguien que hace lo que puede para parar a los botnets«. Aunque mucho me temo que no puedo volver a ser el MalawareTech que alguna gente conocía. Ahora sé lo que son los cinco minutos de fama».
Antes de que Hutchins estuviera envuelto en lo que él llamó sus «cinco minutos de fama», los fans y los medios de comunicación de todo el mundo habían estado tratando de reconstruir su identidad a partir de varios fragmentos de información que había compartido anteriormente en su extenso perfil de Twitter.
Estos incluyen el amor por el surf y las vistas de las olas a lo largo de la costa, la afición por la música de Taylor Swift cuando está programando, así como el gusto por el vodka y el café recién molido.
En palabras de Hutchins
“Así que finalmente he encontrado suficiente tiempo entre correos electrónicos y llamadas de Skype para escribir sobre los eventos locos que ocurrieron durante el viernes, que se suponía que era parte de mi semana libre.
Me desperté alrededor de las 10 de la mañana y me registré en la Cyber threat exchange platform en la que había estado siguiendo la propagación del malware bancario Emotet, algo que parecía increíblemente significativo hasta hoy. Había algunos mensajes habituales acerca de varias organizaciones siendo infectados con ransomware, pero nada significativo todavía. Terminé saliendo a almorzar con un amigo, mientras tanto la campaña de ransomware de WannaCrypt había entrado en código rojo.
Cuando volví a casa alrededor de las 2:30, la plataforma de Cyber threat exchange fue inundado con posts sobre varios sistemas del NHS en todo el país, que era lo que me decía que esto era algo grande. A pesar de que el ransomware en un sistema que ataca básicamente sector público por su vulnerabilidad, en esta ocasión no sucedía así. Rápidamente pude conseguir una muestra del malware con la ayuda de Kafeine, un buen amigo y compañero investigador. Al ejecutar la muestra en mi entorno de análisis al instante me di cuenta que solicitaba un dominio no registrado, lo que rápidamente procedí a realizar.
Usando Cisco Umbrella, podemos ver realmente el volumen de la consulta en el dominio antes de mi registro de la misma que muestra la campaña iniciada alrededor de las 8 AM UTC.
Mientras que el dominio había sido registrado, corrí la muestra de nuevo en mi entorno virtual para verificar que solicitara la conexión con el dominio registrado; Pero lo más interesante fue que después de cifrar los archivos falsos que dejé allí como prueba comenzó a conectarse a direcciones IP aleatorias en el puerto 445 (utilizado por SMB). Los intentos de conexión masiva inmediatamente me hicieron pensar en el escáner exploit, y el hecho de que estuviera escaneando en el puerto SMB me hizo ver hacia atrás a la reciente fuga de ShadowBroker de exploits NSA que contiene un exploit SMB. Obvio que no tenía ninguna evidencia todavía que era definitivamente la exploración de los anfitriones de SMB, así que tweetie mi hallazgo y difundí el dominio ahora registrado.
Ahora una cosa que es importante señalar es el registro real del dominio no fue un capricho. Mi trabajo es buscar formas de rastrear y potencialmente detener botnets (y otros tipos de malware), por lo que siempre estoy atento a recoger dominios de control de malware no registrados. De hecho, registré varios miles de tales dominios en el último año.”
Código Wannacry
Sección del código de wannacry donde solicitaba la conexión con el dominio, al no existir dicho dominio el wannacry se activa a través del “kill switch”, pero al registrar el dominio el wannacry queda inactivo y se vuelve inofensivo
El FBI busca a Huthins, se ha interesado por sus servicios. Aunque lo que está deseando Hutchins es coger las maletas y enfilar a California, con parada en Las Vegas, donde estuvo el año pasado en el DEF CON, uno de los mayores cónclaves mundiales de hackers.
En su primera aventura en Las Vegas, el joven analista británico se hizo acompañar de amigos como Kurtis Baron, fundador de Fidus Information Security. «Es un tipo muy amigable… Lo que hace realmente no es para él un trabajo. Es la pasión de su vida, y encima le pagan por ello».
Microsoft lanzó un parche (una actualización de software que soluciona el problema) para la falla en marzo, pero los equipos que no han instalado la actualización de seguridad siguen siendo vulnerables.
Hutchins advirtió que el ataque podría regresar en una nueva forma y aconsejó a la gente a parchar sus sistemas.
«Esto no ha terminado», dijo. «Los atacantes se darán cuenta de cómo lo detuvimos, cambiarán el código y luego empezarán de nuevo».
Fuentes: the guardian, El mundo, ABC, NCSC