Проводя расследование, специалисты Group-IB получили доступ к административной панели Kronos. Выяснилось, что украденные деньги переводятся на счета двух российских компаний. По одной из версий, после того, как деньги обналичивались дропами, они могли быть выведены из страны.

По своему функционалу и формату правил веб-инъекций Kronos был похож на другой известный троян — ZeuS. ZeuS, появившийся еще в далеком 2007 году, не зря называют "королем троянов". Он был одним из самых продаваемых вредоносов на хакерских форумах, а после того, как его исходный код был выложен в открытый доступ, стал одной из самых популярных программ-шпионов на черном рынке. Каждый месяц исследователи, в том числе криминалисты Group-IB, обнаруживали новые модификации этого трояна.

Первые объявления о продаже трояна Kronos на подпольных хакерских форумах появились летом 2014 года. Первоначальная цена этого трояна составляла $7 000 с "пожизненной лицензией" и $1 000 за тестовую лицензию. Потом цена была снижена до $3 000 «с обновлениями, полной поддержкой, а также командой и инструкцией по вводу документации».

Автором объявлений был пользователь с ником VinnyK. Первоначально объявления о продаже трояна были написаны на русском, но в процессе общения с клиентами VinnyK вел переписку в Jabber на английском языке. В 2016 году VinnyK интересовался покупкой шифровальщика, искал голландские загрузки, покупал немецкий трафик. С февраля 2017 года его аккаунт на форуме заблокирован. Про Kronos уже забыли, но в августе совершенно внезапно произошла развязка этой истории.

В один из майских дней 2017 года 22-летний британец Маркус Хатчинс проснулся знаменитым. В разгар глобальной эпидемии шифровальщика WannaCry, атаковавшего 200 000 компьютеров в 150 странах мира, Хатчинс смог остановить распространение вируса, активировав «выключатель» — механизм «kill switch». Впрочем, он не искал мировой славы и публиковал свои сообщения под ником MalwareTech.

Журналисты выяснили имя "героя" и так он оказался в центре внимания. В начале августа Хатчинс, у которого на этот момент было уже более 90 000 подписчиков в Твиттере, находился в США, где проходили крупнейшие конференции информационной безопасности Black Hat и DEF CON. Потом случилось то, чего никто не ожидал: MalwareTech задержали агенты ФБР.

Весной 2015 года, говорится в обвинительном заключении, неназванный партнер Хатчинса рекламировал Kronos на крупнейшей нелегальной площадке в DarkNet — форуме AlphaBay. До недавнего времени здесь можно было купить наркотики, поддельные документы, инструменты для шпионажа и взлома.

В июле 2017 года ФБР при содействии полицейских подразделений нескольких стран Европы и Азии провело масштабную операцию: в Канаде и Нидерландах были арестованы сервера AlphaBay, а в Таиланде был задержан один из администраторов сайта Александр Казес (Alexander Cazes), известный под псевдонимом Alpha02. До суда он не дожил — его нашли повешенным в своей камере. А эксперты ФБР, исследуя сервера AlphaBay, установили не только покупателей, но и администраторов и продавцов. В их числе, вероятно, оказались и создатели Kronos.

В пятницу, 4 августа, Хатчинс предстал перед судом и не признал себя виновным в предъявленных ему обвинениях. Прокуратура требовала оставить MalwareTech на время расследования в тюрьме, однако судья решил освободить обвиняемого под залог $30 000. При этом Хатчинсу запрещен доступ в Интернет, он также должен надеть цифровой браслет с GPS, чтобы ФБР могло контролировать его местонахождение.

UPD: На первом судебном заседании 14 августа Хатчинс вновь заявил о своей невиновности. Ему позволили пользоваться интернетом, однако оставили цифровой браслет и запретили выезд из США до окончания процесса.