Le pirate informatique Hamza Bendelladj, aka BX1, devait quitter les geôles américaines après une décennie derrière les barreaux pour piratage bancaire. Le hacker est de nouveau devant la justice, mais cette fois en France.

Une analyse minutieuse du fonctionnement du rançongiciel, des requêtes judiciaires fructueuses et des recherches en sources ouvertes. C’est, selon les informations de Zdnet, par le biais du journaliste Gabriel Thierry, la combinaison gagnante utilisée par les enquêteurs de la Brigade de Lutte contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris pour retracer le pirate informatique Hamza Bendelladj (Aka BX1).

Condamné en 2016 par la justice américaine à 15 ans de prison, Bx1 devait retrouver une semi-liberté. La justice américaine a préféré le garder entre 4 murs pour que la justice française puisse l’entendre ce 31 août 2023 au tribunal de Paris.

Pourquoi ? Bx1 est coincé au cœur de l’enquête concernant PyLocky, le rançongiciel découvert en 2018. Hamza aurait continué ses malveillances de sa prison américaine en lançant des cyber attaques exploitant ce logiciel pirate ! Il aurait, par exemple, permis de rançonner des prisons, une association de notaires ou une banque coopérative. Ce 31 août, il sera jugé par visioconférence depuis sa prison, comme ce fût le cas, en mai 2023. La justice américaine a décidé de le garder, de crainte qu’il disparaisse avant de comparaitre devant la justice française.

Selon certains spécialistes, il aurait également participé à l’utilisation du malware Tinynuke, contre des banques françaises, en 2017/2018. TinyNuke, également connu sous le nom de Nuclear Bot, était un malware bancaire découvert en 2016. Son code source sera révélé en 2017, profitant ainsi à de nombreux autres pirates.

Actif depuis juillet 2018, les attaques PyLocky étaient dirigées contre les utilisateurs européens : fin août, près des 2/3 des cibles du ransomware se trouvaient en France. Les messages étaient rédigés en anglais, français, italien, coréen. A l’époque, les spécialistes de Trend Micro soulignaient que PyLocky n’avait rien à voir avec Locky, un autre agressif logiciel pirate.

Le malware avait été créé à l’aide de PyInstaller, outil qui permet de transformer une application Python en fichier exécutable. PyLocky utilisait aussi un programme d’installation open source Inno Setup, le rendant difficile la détection.

Ce logiciel pirate était distribué de manière traditionnelle : le spam. De nombreux courriels étaient envoyés à des employés de diverses entreprises [et pas des particuliers tirés au hasard]. Ils dirigeaient les cibles via de faux sites : securitesitefr[.]com, Etc.

Une fois activé, le programme malveillant se mettait en veille pendant 11 jours.

Bx1 aurait diffusé 500.000 mails piégés lors de chaque cyber attaque, selon une source proche du dossier.

Derrière les barreaux, le business continue

Comme je vous l’expliquais dans cet article, le business pour certains pirates (homme et femme) continue même en prison. Il semble donc que pour le « hacker souriant » [Smile Hacker], il en soit de même.

BX1 a attiré l’attention des policiers français à la suite de plaintes en juin 2018. Ces enquêteurs ont exploré le rançongiciel PyLocky, découvrant son code simple en Python et son infrastructure peu sophistiquée. L’analyse des campagnes de spam a révélé un premier indice : le serveur utilisé se trouvait en France, chez un hébergeur Lyonnais. Grâce à une copie du serveur obtenue par une réquisition judiciaire, les enquêteurs ont scruté la mécanique de l’envoi des spams, en examinant les adresses de messagerie liées aux envois de tests pour contourner les filtres antispam.

Lors de leurs investigations, les enquêteurs découvrent l’implication d’une personne nommée Boualem. À leur grande surprise, des recherches ultérieures révèlent que Boualem est en fait le frère de Bx1, en prison aux USA. « Cette localisation prend un sens particulier pour les enquêteurs, car elle est déjà mentionnée dans le dossier judiciaire en relation avec des adresses IP liées à des attaques survenues dans cette région. » explique Gabriel Thierry.

L’examen d’autres adresses utilisées pour les tests apporte plus de contexte. L’une d’entre elles, prétendument associée à la compagne de Boualem, attire l’attention en raison de sa relation antérieure avec l’un des domaines du botnet Zeus, mentionnée dans une plainte de Microsoft en 2012.

En juin 2019, les autorités françaises diffusées un outil permettant de déchiffrer les fichiers pris en otage par PyLocky. Un outil, fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), aujourd’hui baptisé BL2C, de la Direction régionale de la police judiciaire de Paris et des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI), rattaché à la Gendarmerie nationale, de réaliser l’anti PyLocky.

Fait intéressant, selon les observations du spécialiste Michael Gillespie, l’outil des autorités françaises contennait deux clés privées RSA codées en dur. Cela signifiait que les experts avaient non seulement trouvé une faille dans l’algorithme de chiffrement utilisé par le ransomware, mais que les forces de l’ordre avaient pu accéder au serveur de contrôle des attaquants, où ils ont trouvé les clés principales des versions 1 et 2 de PyLocky. Fait confirmé depuis par la justice.

Une autre adresse électronique établit également un lien avec un nom de domaine associé à TinyNuke, le cheval de Troie cité plus haut ! Logiciel pirate qui permet de diffuser PyLocky. PyLocky avait été créé par un jeune Français nommé Augustin 1er. Les messages se font passer pour La poste et diffusent de fausses factures. A lire l’enquête exceptionnelle d’un ancien membre d’une équipe CERT d’une banque française sur le sujet.

Cette nouvelle affaire doit connaître son dénouement, jeudi 31 août, à Paris. Un jugement qui pourrait encore être reporté à la demande des deux avocats de Bx1. Ce dernier plaide son innocence indiquant ne pas être responsable de ce qui lui est reproché.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr