Fidye yazılımının işleyişinin, başarılı yasal taleplerin ve açık kaynak araştırmasının ayrıntılı analizi. Edindiğimiz bilgiye göre, Paris polis merkezi siber suç tugayından (BL2C) hacker Hamza Bendelladj’ın izini sürmek için gelen müfettişlerin kokteyli burada. Takma adı BX1 olan bu fidye yazılımı, 2018’in ortasında keşfedilen PyLocky’ye yönelik soruşturmanın merkezinde yer aldı.
Davanın artık 31 Ağustos Perşembe günü Paris mahkemesinde görülmesi gerekiyor. Olağandışı detay: Cezaevleri, noterler birliği veya kooperatif bankası gibi çeşitli Fransız kuruluşlarını hacklemek ve şantaj yapmakla suçlanan hacker, hapishanesinden video konferansla yargılanacak. Şu anda gözaltında tutuluyor. SpyEye bankacılık Truva atına karıştığı için 2016 yılında Amerika Birleşik Devletleri’nde on beş yıl hapis cezasına çarptırıldı. İddia makamına göre gölgede kalmak onu yeni kötü niyetli kampanyalar başlatmaktan alıkoyamayacaktı.
yaklaşık 200 satır kod
Bu ünlü hacker nasıl Fransız polisinin gözüne girdi? Haziran 2018’de yapılan ilk şikayetlerin farkına varan ikincisi, ilk olarak PyLocky’nin kapağını kaldırmaya çalıştı. Bu fidye yazılımı oldukça minimalist, Python’da yaklaşık 200 satır kod içeriyor ve araştırmaya yakın bir kaynağın altını çiziyor. Altyapısı da çok gelişmiş bir görev bölümü olmadan, çok fazla amatörlük nedeniyle yavaş görünüyor.
Bu nedenle araştırmacılar, fidye yazılımının yayılmasını mümkün kılacak spam kampanyalarıyla ilgileniyor. Polis yaz aylarında ilk ipucunu çok çabuk keşfeder. Spam kampanyaları için kullanılan sunucu Fransa’da, Lyon merkezli küçük bir sunucuda bulunuyor. Bu muhtemelen anti-spam servisleri tarafından kara listeye alınmamak içindir.
Adli taleple elde edilen sunucunun bir kopyasına erişim, spam mesajları gönderme mekanizmasının incelenmesini mümkün kılar. Araştırmacılar özellikle test postalarına karşılık gelen, mesajların anti-spam filtrelerini geçip geçmediğini görmeyi mümkün kılan e-posta adreslerine bakıyorlar.
Orman Şehri
Müfettişler bunlardan birini araştırırken belli bir Boualem ile karşılaşırlar. Sürpriz, biraz araştırmadan sonra Amerika Birleşik Devletleri’nin Forrest City’sinde gözaltına alınan ünlü bir hackerın kardeşi olduğu ortaya çıktı! Bu konum araştırmacılarla konuşuyor. Arkansas’taki bu şehir, yasal dosyada zaten orada bulunan saldırılarla bağlantılı IP adresleriyle belirtiliyor.
Bu testler için kullanılan alternatif e-posta adresleri araştırmacılara daha fazla bağlam sağlar. Boualem’in arkadaşı tarafından kullanıldığı varsayılan şüpheli adreslerden biri, Zeus botnet’inin alan adlarından birine zaten bağlı. şikayette bulunuldu 2012 yılında Microsoft tarafından.
Bir diğeri ayrıca, bağlantılı bir alan adıyla bağlantı kurmayı mümkün kılar. MiniNuke, kurbanlara PyLocky’yi yükleyen bu kötü niyetli truva atı. Bu son program, avı bir hikaye tarafından anlatılan Augustin adında genç bir Fransız tarafından yazılmıştır. güvenlik analisti.
Özel anahtar
Sonuç: 2018’in sonunda polis, Hamza Bendelladj’ın bu hikayeye dahil olduğuna ikna oldu. Daha sonra bu parçayı doğrulamak için çalışacaklar. Hatta ele geçirilen sunuculardan birinde özel anahtar bulmayı bile başaracaklar. Fransa’da bir ilk olacak şifre çözme yazılımının geliştirilmesine olanak sağlayacak.
Ancak geri kalanı daha zahmetli olacak ve bir duruşmaya varmak için birkaç yıl gerekecek. Bir yandan PyLocky ile gerçekten ilgilenenler yalnızca Fransızlar. Ancak Fransa’nın özellikle hedef alındığı görülmemektedir. Müfettişler bunun yerine onun kötü niyetli faaliyetlerinin çoğunun yanlışlıkla Locky’nin faaliyetleriyle karıştırıldığını varsayıyorlar.
Öte yandan Hamza Bendelladj’a yönelik soruşturma uluslararası işbirliği labirentinde çıkmaza girdi. Bir örnek: Araştırmacılar sonunda BX1’i sorgulamak için Amerika Birleşik Devletleri’ne gitmediler. Artık masum olduğunu iddia eden bir hacker. Hamza Bendelladj, geçtiğimiz Mayıs ayında Fransız hakim karşısına çıktığı ilk duruşmada kendisini bu bilgisayar hacklemeleriyle “hiçbir ilgim yok” diyerek savundu.