Índice
Marcus Hutchins é um hacker e pesquisador de segurança da informação que nasceu em Devon, no interior do Reino Unido, mas hoje passa seus dias em Los Angeles, nos Estado Unidos. Atualmente, dedica seu tempo tentando identificar malwares (aplicações maliciosas) além de desenvolver as soluções necessárias para parar o contágio e disseminação delas.
Hutchins ficou conhecido em maio de 2017 quando encontrou o kill switch (autodestruidor) de um dos vírus mais avassaladores da história, o WannaCry. No entanto, o jovem de 25 anos começou sua carreira no mundo da segurança da informação no time inimigo: do lado dos hackers criminosos, quando era mais novo.
O início da aventura cibernética
Ainda criança, Marcus Hutchins foi membro e autor de um fórum dedicado para discutir meios de hackear, invadir e roubar informações de usuários do MSN, a plataforma de mensagens instantâneas mais popular da época.
Depois de algum tempo inserido nessa comunidade, ele passou a se identificar e admirar seus colegas anônimos e, com 14 anos de idade, publicou sua primeira contribuição relevante para o fórum: um aplicativo simples que, quando instalado no computador da vítima, era capaz de encontrar, roubar e descriptografar as senhas salvas no Internet Explorer.
Aos 15, foi suspenso da escola onde estudava acusado de realizar um ataque à rede da instituição, corrompendo um servidor inteiro, que teve que ser substituído. Marcus Hutchins negou a acusação e garantiu que a escola não tinha provas. Sua mãe, a enfermeira Janet Hutchins, acredita que o filho não é um bom mentiroso e se fosse o culpado ela descobriria. “Ele era muito orgulhoso. Se ele tivesse feito isso, ele teria dito que tinha feito”, disse Janet à Wired.
Nessa mesma época, o fórum que frequentava saiu do ar e o jovem foi parar em outro chamado HackForum. Neste, muitos usuários competiam por respeito, expondo suas habilidades no mundo do cibercrime.
Hutchins não perdeu tempo e logo estava se gabando dos mais de 8 mil computadores conectados em sua rede botnet criminosa. Botnet é uma rede de computadores que permite o acesso do administrador aos computadores da rede, sendo possível executar comando maliciosos (como ataques DDoS), roubar dados e enviar spam e phishing.
Também começou a oferecer serviços de hospedagem para qualquer tipo de site e cliente do fórum, uma empresa que chamou de Gh0sthosting: um lugar onde são permitidos todos os sites ilegais, “exceto pornografia infantil”, disse.
Com o tempo, cansou de oferecer o serviço de hospedagem ilegal e resolveu investir e aprimorar suas habilidades como desenvolvedor de malware. Assim que despertou confiança, passou a oferecer o serviço de desenvolvimento dessas ferramentas maliciosas para outros usuários do fórum.
Dando passos maiores
Aos 16 anos, Marcus Hutchins já era um usuário reconhecido pela comunidade. Ele chegou a vender desde ferramentas que bloqueavam softwares de antivírus customizadas, por cerca de US$200 dólares, até aplicações que roubam credenciais de acesso de formulários web por US$800 dólares.
Um outro usuário, com o nome de Vinny, se interessou pelas habilidade de Hutchins e ofereceu uma proposta capaz de mudar completamente a vida do garoto. A proposta de Vinny era vender uma legítima ferramenta hacker multitarefa, o serviço completo, para usuários de outros fóruns (como o russo Exploit.in e o inglês Dark0de) e, ao invés de comprar o programa, Hutchins ganharia uma comissão por venda.
Vinny era diferente dos outros usuários com quem Marcus Hutchins já tinha trabalhado junto: ele tinha um perfil mais profissional, só falava o necessário e nunca sequer revelou detalhes pessoais. O jovem desbravador cibernético resolveu confiar e aceitou a proposta de desenvolver a ferramenta.
Nove meses depois, em 2012, a ferramenta hacker de Hutchins começou a ser vendida nos fóruns cibercriminosos. A princípio foi chamada de UPAS Kit, mas depois foi renomeada para Kronos.
As vendas do Kronos foram um sucesso e Hutchins nunca tinha visto tanto dinheiro em sua vida. Com o que ganhou, atualizou seu computador, comprou videogames e até um sistema de som para seu quarto. Tudo com bitcoins.
Outro usuário do mesmo fórum que se envolveu com Hutchins foi Randy. Mas, diferente de Vinny, onde a relação era exclusivamente profissional, com Randy era de amizade. Nesse momento, Marcus Hutchins já tinha desistido da vida do cibercrime e, depois de algum tempo de amizade, começou a trabalhar em um projeto legítimo e dentro da lei com Randy. Hutchins pensou que seria uma grande oportunidade de lavar todo o dinheiro que tinha conseguido com o cibercrime.
Em 2013, Hutchins criou um blog, o MalwareTech, para publicar conteúdos específicos sobre aplicações maliciosas e cibersegurança. Foi através desse conteúdo aprofundado que ele foi contratado pela empresa de segurança cibernética, Kyotos Logic, que tem sede em Los Angeles. O CEO, Salim Neino, havia se interessado por um “rastreador” de botnet que o jovem havia desenvolvido e entrou em contato para fazer uma proposta de trabalho parecida.
Neimo ofereceu US$ 10 mil para que Hutchins produzisse um rastreador para o botnet Kelihos. Mas Marcus Hutchins só percebeu que a vida do cibercrime não compensa, quando lhe foi oferecido um cargo de pesquisador de cibersegurança na Kyotos Logic. Ele ganharia mais para fazer o que gosta e o melhor de tudo: de forma honesta e dentro da lei.
Como Marcus Hutchins descobriu o kill switch do WannaCry
Após cerca de 4 anos trabalhando como pesquisador de cibersegurança, Marcus Hutchins estava se preparando para tirar uma semana de férias no dia 12 de maio de 2017, mas um vírus perigosíssimo começou a se espalhar pelo mundo e, assim, seu descanso foi adiado.
A primeira vítima do vírus desconhecido foi o Serviço Nacional de Saúde do Reino Unido (NHS). O malware começou a se espalhar pela rede dos hospitais e, em pouco tempo, todos os computadores da NHS apresentavam a mensagem: “Ooops, seus arquivos foram criptografados!”, além de exigir US$ 300 em bitcoin para descriptografar os arquivos da máquina.
De acordo com a Wired, este ataque foi muito além dos hospitais públicos do Reino Unido. Em poucas horas, atingiu mais de 600 clínicas e consultórios médicos, forçando o cancelamento de mais de 20 mil consultas agendadas, além das máquinas perdidas de dezenas de hospitais.
Os pesquisadores tinham bem poucas informações sobre o vírus, mas resolveram o chamar de WannaCry, por conta da terminação .wncry em que ficavam os arquivos criptografados.
A forma de contágio e disseminação do WannaCry era assustadora, o vírus do tipo ransomware com transmissão worm se espalhou pela rede, infectando todos os computadores diretamente conectados e, com o tempo, até os indiretamente ligados também foram atingidos. Esse contágio massivo só foi possível com a tecnologia EternalBlue, que havia sido roubada da Agência de Segurança Nacional dos Estados Unidos (NSA) um mês antes do surto.
Ainda no mesmo dia, o WannaCry já tinha infectado a empresa ferroviária alemã Deutsche Bahn, o banco russo Sberbank, as fabricantes de automóveis Renault, Nissan e Honda, universidades na China, departamentos de polícia na Índia, a empresa espanhola de telecomunicações Telefónica, além da empresa de logística FedEx e a fabricante de aeronaves Boeing. Em somente uma tarde, o WannaCry foi responsável por destruir quase um quarto de milhão de dados de computadores, causando danos avaliados entre US$ 4 bilhões e US$ 8 bilhões, informa a Wired.
Hutchins conseguiu uma cópia do código do WannaCry e resolveu iniciar o vírus em um ambiente controlado. Ele percebeu que antes do WannaCry começar a criptografar os arquivos da máquina, ele se comunicava com um website bem esquisito: “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”, o site não existia e também não era registrado.
Com o objetivo de conseguir mais informações, como quantidade real de infectados (já que o WannaCry mandava um sinal de ping para o site sempre que iniciado em uma nova máquina), Marcus Hutchins registrou o site em seu nome.
Assim que Hutchins registrou o site, começou a receber todos os pings de novos infectados. Foi quando ele teve noção da transmissão exponencial do WannaCry em somente algumas horas de atividade.
Às 6h30 da manhã do dia seguinte, Marcus Hutchins ainda estava tentando entender o comportamento do WannaCry, quando se deparou com um tweet de outro pesquisador: “A execução falhou agora que o domínio foi sinkholed”. Isso significa que a transmissão do WannaCry foi neutralizada pois o domínio foi registrado.
Como Marcus Hutchins foi preso
Durante todos esses anos no mundo da segurança digital, Hutchins havia conseguido manter seu anonimato. No entanto, foi reconhecido por uma ex colega de escola e, de uma hora pra outra, sua cara estava estampada em uma infinidade de jornais, revistas e sites pelo mundo, além de uma multidão de repórteres em frente a sua casa. Todos queriam um pedacinho do jovem de 22 anos que tinha acabado de salvar a humanidade dentro do seu quarto.
Três meses depois, Hutchins foi convidado a realizar uma palestra na Defcon, maior conferência de hackers e profissionais de segurança da informação do mundo, com cerca de 30 mil participantes todos os anos, em Las Vegas, EUA.
A vida pra Hutchins ia bem, ele era reconhecido na rua, ganhou comida e bebida de graça dos restaurantes locais, estava famoso, com muito dinheiro, seus pais estavam muito orgulhosos e o melhor de tudo: fazia 3 anos desde seu último trabalho cibercriminoso, o Kronos.
Durante seu último dia em Las Vegas, já no aeroporto e aguardando o embarque para voltar para sua casa no Reino Unido, Hutchins foi convidado a conversar com oficiais da polícia federal norte-americana, o FBI.
A princípio, Hutchins pensou que os oficiais estavam em busca de mais informações sobre como ele parou a transmissão do WannaCry. Mas os policiais estavam mesmo interessados no seu passado criminoso: o desenvolvimento do Kronos.
Os oficiais mostraram a ele uma cópia de sua conversa com Randy, onde estava claro que Hutchins era o principal desenvolvedor da ferramenta, além de ter oferecido uma cópia de graça para Randy, já que eram amigos.
O Kronos foi usado para roubar informações de login e senha de vítimas usuárias dos sistemas de banco online e Hutchins foi sentenciado a prisão. A princípio, ele negou as acusações, mas depois de perceber que não tinha escapatória, resolveu contar a verdade e assumiu duas das acusações feitas pelo FBI.
Em 2019, Hutchins passou a cumprir pena em regime semi aberto, mas proibido de deixar os Estados Unidos e também proibido de trabalhar por dinheiro pelo período de um ano.
Hutchins continua morando em Los Angeles e trabalhando como pesquisador de segurança cibernética, além de manter o blog atualizado, assim como um canal no YouTube, onde publica vídeos, tutoriais e podcasts sobre o mundo dos hackers.
O que você achou da trajetória de Marcus Hutchins? Compartilhe conosco nos comentários.
Fonte: Wired