Hjem > Cyber ​​Nyheder > Onion.to Tor-to-Web Steals fra Ransomware-operatører og ofre
CYBER NEWS

Onion.to Tor-to-Web Stjæler fra ransomware Operatører og Ofre

Stjæle fra ransomware Operatører og ransomware Ofre? Mission Possible, Siger Onion.to Tor-til-web proxy service

Sikkerhed forskere på Proofpoint har rapporteret, at operatørerne af en Tor proxy service blev detekteret erstatter Bitcoin adresser på ransomware betaling hjemmesider. Det betyder, at ransomware betalinger sendt af ofre i bytte for dekryptering nøgler blev omdirigeret til adressen på ... andre cyberkriminelle.

Hvad er en Tor proxy service? En hjemmeside designet til at give brugere adgang .onion domæner, der er hostet på Tor-netværket. Tjenesten kan bruges uden Tor browser. Disse tjenester har været stigende i popularitet, især når det kommer til ransomware. Mange ransomware stykker gennemføre webadresser til Tor-til-web proxies i tillæg til den oprindelige betaling portalen. Disse fuldmagter komme i handy for brugere, der mangler tekniske muligheder.

Tor fuldmagter er enkle at bruge. Brugere tilføje typisk en udvidelse såsom .til, .kabine til i løg URL, og det bliver brugbart i en normal browser. For eksempel, for at kunne anvende hxxps://robusttldkxiuqc6[.]løg/, brugere har brug for en dedikeret Tor browser. Men, de kan bruge hxxps://robusttldkxiuqc6[.]løg[.]til / i enhver browser.

Proofpoint forskere, dog, stødte på noget spændende - Tor fuldmagter designet til at stjæle samtidig fra ransomware forfattere (eller operatører) og deres ofre. Sagen involverer operatører af Onion.top Tor-til-web proxy service, der var skjult analyserer Mørke websider indlæses via deres portal for strygere, der ligner Bitcoin tegnebog adresser typisk for ransomware. Disse adresser blev derefter ændret med deres egen. Tre ransomware familier synes at være påvirket af denne besynderlige ordning - locker, Sigma og GlobeImposter.

Hvordan har Forskere Bliv bekendt med denne praksis?

Takket være en advarsel synligt på Locker betalingsside som blev indsendt af den ransomware forfattere. Dette er, hvad budskabet læser:

Brug IKKE onion.top, de udskifter Bitcoin adresse med deres egne og stjæle Bitcoins. For at være sikker på du betaler til den korrekte adresse, bruge Tor Browser.

Den Onion.to Tor-til-web proxy service med succes høstet $22,000 både fra ransomware forfattere og deres ofre.

Under deres forskning, eksperterne bemærket forskellige Bitcoin tegnebog adresse udskiftning regler baseret på den side, som brugeren. Dette førte dem til at foreslå, at Onion.to operatører konfigurere adresse ændringer manuelt, sted til sted.

Forskerne undersøgte udskiftning Bitcoin adresser til at bestemme, hvor meget kan have været stjålet af proxy operatører:

Den Bitcoin adresse 13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp har haft i alt 0.15 BTC overført til det ($1,661 på tidspunktet for offentliggørelsen – se figur 6). Den Bitcoin adresse 1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU har haft i alt 1.82 BTC overført til det ($20,154 på tidspunktet for offentliggørelsen).

Men, Det er ikke klart, om andre Bitcoin adresser bliver brugt i denne ordning.

Afslutningsvis…

Selv om det fremgår, at operatører af onion.top ikke har stjålet et stort antal Bitcoins fra ransomware ofre endnu, så mange ransomware ofre bruge Tor fuldmagter i stedet for at installere Tor browser, de potentielle konsekvenser er høj for ofrene forsøger at betale løsepenge og dekryptere deres filer, siger forskerne. Ikke desto mindre, ordningen fremhæver de tvivlsomme relationer i ransomware virksomhed, da det rejser et interessant forretning problem for ransomware forfattere og praktiske spørgsmål til deres ofre ved at øge risikoen for ofre, der ville beslutte at betale de krævede løsepenge. Denne ordning kaster også lys på en anden og mere populære trend - tyveri af cryptocurrencies.

Fortsat volatilitet på cryptocurrency markeder og stigende interesse for Tor netværket vil sandsynligvis drive yderligere potentielt misbrug af Tor fuldmagter, medføre yderligere risiko for nye brugere, Proofpoint Forskerne konkluderede.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig