Marcus Hutchins werd bekend toen hij hielp de verspreiding van de WannaCry ransomware te stoppen. Maar de afgelopen tijd is hij om iets heel anders bekend komen te staan, namelijk de verspreiding van de Kronos malware die gericht was op banken. Vandaag zijn er nog eens vier nieuwe aanklachten tegen Hutchins ingediend.

Dat blijkt uit een rechtbankdocument dat online verscheen. In de nieuwe aanklachten wordt Hutchins er onder meer van beschuldigd tegen de FBI gelogen te hebben. Ook zou hij malware gemaakt en verkocht hebben, die erop gericht was om persoonlijke en financiële gegevens te stelen. Daarmee liggen er nu tien aanklachten tegen Hutchins.

Arrestatie en beschuldigingen

De veiligheidsonderzoeker werd afgelopen zomer gearresteerd door de Amerikaanse politie. Hij was toen op zakenreis in Las Vegas en werd aangeklaagd voor het ontwikkelen en verspreiden van de Kronos-malware. Hutchins ontkende, maar erkende wel dat delen van zijn code aanwezig waren in de malware. Hij wist naar eigen zeggen niet dat die daarvoor gebruikt zou worden, toen hij de code schreef.

De meeste nieuwe aanklachten hebben te maken met de ontwikkeling en verkoop van malware die bekend staat als UPAS Kit. Die was naar het schijnt ontworpen om de gegevens die gebruikers invullen op online formulieren – denk aan de inlogpagina’s van banken – te onderscheppen.

Kan het wel?

Volgens de aanklachten ontwikkelde Hutchins de UPAS Kit voor juli 2012 en leverde deze aan een onbekend individu, met de bedoeling dat individu de malware te laten verkopen en verspreiden. De openbaar aanklagers stellen dat deze persoon onder de schuilnaam VinnyK en Aurora123 werkzaam was en dezelfde persoon is die Hutchins hielp met de verkoop en verspreiding van de Kronos-malware. Een ander belangrijk onderdeel van de aanklacht, draait erom dat Hutchins “doelbewust” gelogen zou hebben tegen de FBI.

Overigens is de zaak rond Hutchins nog vrij opmerkelijk. Volgens burgerrechtenactivist Marcy Wheeler zou hij helemaal niet aangeklaagd mogen worden rond de UPAS Kit. Hutchins is namelijk in juni 1994 geboren en zou de code dus ontwikkeld hebben toen hij nog geen achttien jaar oud was. In de Verenigde Staten vervallen misdrijven die door minderjarigen gepleegd zijn na vijf jaar, dus kan hier niks meer mee gedaan worden.