Een 23-jarige beveiligingsonderzoeker met de alias MalwareTech zou wel eens een hand gehad kunnen hebben in de Wannacry-aanval van de afgelopen lente.

Killswitch

MalwareTech werd in één klap wereldberoemd toen hij een domeinnaam registreerde, die ook meteen fungeerde als killswitch voor de inmiddels beruchte Wannacry-malware. De onderzoeker werd begin augustus al aangehouden door de FBI vanwege betrokkenheid bij het ontwikkelen en verspreiden van de Kronos banking Trojan. In de eerste instantie reageerde de andere onderzoekers geschokt op de arrestatie en was er een sterke veroordeling richting de FBI.

Brian Krebs

Uit een vervolgonderzoek van de IT-journalist Brian Krebs blijkt nu echter dat de federale politie van de Verenigde Staten het misschien toch bij het rechte eind hadden. De journalist is op zoek gegaan naar bewijs over de betrokkenheid van de gearresteerde beveiligingsonderzoeker en heeft talloze hackersfora bezocht om een zo compleet mogelijk beeld te vormen. Met behulp van e-mailadressen, domeinen en verschillende aliassen was de journalist eerst van plan om de onschuld van MalwareTech te bewijzen. Maar naar mate het onderzoek van de journalist verder vorderde, begon Krebs toch argwaan bij zichzelf te wekken.

Blackhat

Verschillende onderzochte aliassen zouden gebruikt zijn voor het aanbieden van zelf ontwikkelde malware. Ook zou MalwareTech onder een andere pseudoniem video’s op YouTube geplaatst hebben waarin de werking van malware dat wachtwoorden steelt wordt uitgelegd. Ook zou er intussen een andere beveiligingsonderzoeker zijn, die tot dezelfde conclusie gekomen is als Krebs. Het lijkt er dus op dat MalwareTech onder valse voorwendselen zich voordeed als beveiligingsonderzoeker, maar er daarnaast een lucratief leventje als blackhat aan over hield. Saillant detail is echter wel, dat zowel Krebs als de andere onderzoeker geen bewijs gevonden hebben voor de beschuldigingen van de FBI waarvoor MalwareTech momenteel vastgehouden wordt.