Begin augustus werd de 23-jarige Britse beveiligingsonderzoeker met het alias MalwareTech door de FBI aangehouden op verdenking van het maken en verspreiden van de Kronos banking Trojan. De Brit ontkende alle aanklachten tegen hem en andere onderzoekers reageerden kritisch op zijn arrestatie.

Onderzoek van de bekende it-journalist Brian Krebs lijkt te suggereren dat de Brit, die wereldwijd bekend werd doordat hij een domeinnaam registreerde die als killswitch voor de WannaCry-ransomware fungeerde, malware voor anderen ontwikkelde. Krebs gebruikte voor zijn onderzoek allerlei aliassen op hackerfora, e-mailadressen en domeinen. De journalist zegt dat hij eerst dacht dat de aanklachten tegen de Brit geen stand zouden houden. "Maar naarmate ik dieper begon te graven in de geschiedenis van tientallen hackerforumpseudoniemen, e-mailadressen en domeinen die hij schijnbaar de afgelopen tien jaar gebruikte, verscheen er een heel ander beeld", aldus Krebs.

Krebs vond op Hackforums verschillende aliassen die van de Brit zouden zijn en malware aanboden. Een ander alias blijkt achter verschillende YouTube-video's te zitten waarin wordt uitgelegd hoe malware die wachtwoorden steelt moet worden gebruikt. In één van de video's is een e-mailadres te zien dat de achternaam van de Brit bevat. Nicholas Weaver, een beveiligingsonderzoeker bij het International Computer Science Institute en een docent aan de University of California, Berkeley, stelt dat het erop lijkt dat de Brit een "wezenlijke en voorspoedige" carrière als blackhat had en voor anderen malware ontwikkelde. Krebs heeft geen informatie gevonden dat de Brit de Kronos banking Trojan zou hebben ontwikkeld of verkocht.