Robar a los operadores ransomware y víctimas ransomware? Misión posible, Dice Onion.to servicio proxy Tor-to-Web
Los investigadores de seguridad en Proofpoint han informado de que se detectaron los operadores de un servicio de proxy Tor sustitución de direcciones Bitcoin en los sitios web de pago ransomware. Esto significa que los pagos enviados por ransomware víctimas a cambio de claves de descifrado fueron desviados hacia la dirección de ... otros cibercriminales.
¿Qué es un servicio de proxy Tor? Un sitio web diseñado para permitir a los usuarios acceder a dominios .onion, que se aloja en la red Tor. El servicio puede ser utilizado sin el navegador Tor. Estos servicios han ido creciendo en popularidad, sobre todo cuando se trata de ransomware. Muchas piezas ransomware implementan las direcciones URL de servidores proxy-Tor-a web además del portal de pago original. Estos poderes muy útil para los usuarios que carecen de capacidades técnicas.
proxies Tor son fáciles de usar. Los usuarios suelen añadir una extensión como .para, .cabina en la URL de la cebolla, y se convierte en utilizable en un navegador normal,. Por ejemplo, con el fin de utilizar hxxps://robusttldkxiuqc6[.]cebolla/, los usuarios necesitan un navegador Tor dedicada. Sin embargo, que pueden utilizar hxxps://robusttldkxiuqc6[.]cebolla[.]a / en cualquier navegador.
investigadores Proofpoint, sin embargo, se encontró con algo intrigante - proxy Tor diseñados para robar simultáneamente desde autores ransomware (u operadores) y sus víctimas. El caso se refiere a los operadores de servicio de proxy Onion.top-Tor-to-Web que fueron secretamente analizar páginas web, oscuro cargado a través de su portal de cuerdas que se asemejan a la cartera de Bitcoin se dirige típico de ransomware. Estas direcciones se cambiaron entonces con su propia. Tres familias ransomware parecen ser afectados por este curioso esquema - Armario, Sigma y GlobeImposter.
¿Cómo resultó Los investigadores tomar conciencia de esta práctica?
Gracias a una advertencia visible en la sitio de pago taquilla el cual fue publicado por los autores del ransomware. Esto es lo que se lee el mensaje:
NO utilice onion.top, que están reemplazando la dirección bitcoin con sus propios y robo de bitcoins. Para asegurarse de que está pagando a la dirección correcta, usar Tor Browser.
El servicio de proxy Onion.to-Tor-to-Web cosechado éxito $22,000 tanto de los autores ransomware y sus víctimas.
Durante su investigación, los expertos notaron varias reglas de sustitución de direcciones billetera Bitcoin basado en la página visitada por el usuario. Esto les llevó a sugerir que los operadores se Onion.to Configuración de la dirección cambia manualmente, sitio por sitio.
Los investigadores examinaron la sustitución de Bitcoin se dirige a determinar cuánto puede haber sido robado por los operadores de proxy:
La dirección Bitcoin 13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp ha tenido un total de 0.15 BTC transferida a ella ($1,661 en el momento de la publicación – ver figura 6). La dirección 1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU Bitcoin ha tenido un total de 1.82 BTC transferida a ella ($20,154 en el momento de la publicación).
Sin embargo, no está claro si otras direcciones Bitcoin se están utilizando en este esquema.
En conclusión…
Si bien parece que los operadores de onion.top no han robado un gran número de víctimas de bitcoins sin embargo ransomware, el mayor número de víctimas ransomware utilizan servidores proxy Tor en lugar de instalar el navegador Tor, el impacto potencial es alto para las víctimas que tratan de pagar el rescate y descifrar sus archivos, los investigadores dicen. No obstante, el esquema pone de relieve las dudosas relaciones en el negocio de ransomware, ya que plantea un problema de negocio interesante para los autores ransomware y los problemas prácticos para sus víctimas, aumentando aún más el riesgo a las víctimas que se decide pagar los rescates exigidos. Este esquema también arroja luz sobre otra tendencia cada vez más popular - el robo de cryptocurrencies.
La continua volatilidad en los mercados criptomoneda y el aumento de interés en la red Tor es probable que impulsar aún más los posibles abusos de servidores proxy Tor, crear nuevos riesgos para los nuevos usuarios, los investigadores llegaron a la conclusión de Proofpoint.