Accueil > Nouvelles Cyber > Onion.to Tor-to-Web vole des opérateurs de ransomware et des victimes
CYBER NOUVELLES

Onion.to Tor-to-Web vole Ransomware Les opérateurs et les victimes

Stealing des opérateurs Ransomware et victimes Ransomware? Mission possible, Tor dit Onion.to-to-Web Proxy Service

Les chercheurs en sécurité à Proofpoint ont rapporté que les exploitants d'un service de proxy Tor ont été détectés le remplacement des adresses Bitcoin sur les sites de paiement ransomware. Cela signifie que les paiements ransomware envoyés par les victimes en échange de clés de décryptage ont été détournés vers l'adresse de ... d'autres cybercriminels.

Qu'est-ce qu'un service proxy Tor? Un site Web conçu pour permettre aux utilisateurs d'accéder à des domaines .onion, qui est hébergé sur le réseau Tor. Le service peut être utilisé sans le navigateur Tor. Ces services ont été de plus en plus en popularité, surtout quand il s'agit de Ransomware. De nombreuses pièces ransomware URL pour mettre en œuvre proxies Tor-à-web en plus du portail de paiement d'origine. Ces procurations sont pratiques pour les utilisateurs qui ne disposent pas des capacités techniques.

Tor procurations sont simples à utiliser. Les utilisateurs ajoutent généralement une extension telle que .pour, .cabine dans l'URL de l'oignon, et il devient utilisable dans un navigateur normal. Par exemple, afin d'utiliser hxxps://robusttldkxiuqc6[.]oignon/, les utilisateurs ont besoin d'un navigateur Tor dédié. Cependant, ils peuvent utiliser hxxps://robusttldkxiuqc6[.]oignon[.]à / dans tout navigateur.

chercheurs Proofpoint, cependant, suis tombé sur quelque chose de fascinant - les proxies Tor conçus pour voler en même temps des auteurs ransomware (ou opérateurs) et leurs victimes. L'affaire concerne les opérateurs de services Onion.top Tor-à-web proxy qui analysent subrepticement pages Web sombres chargées par leur portail pour les chaînes qui ressemblent à Bitcoin portefeuille adresses typique pour ransomware. Ces adresses ont ensuite été modifiés par leur propre. Trois familles ransomware semblent être affectés par ce régime curieux - Casier, Sigma et GlobeImposter.

Comment at-chercheurs pris conscience de cette pratique?

Merci à un avertissement visible sur la site de paiement LOCKER qui a été publié par les auteurs du ransomware. Voici ce que le message lit:

Ne pas utiliser onion.top, ils remplacent l'adresse Bitcoin avec leurs propres et voler Bitcoins. Pour être sûr que vous payez à la bonne adresse, utiliser le navigateur Tor.

Le service proxy Onion.to Tor-to-Web avec succès récolté $22,000 à la fois des auteurs ransomware et leurs victimes.

Au cours de leurs recherches, les experts ont remarqué diverses règles de remplacement d'adresse de portefeuille Bitcoin basé sur la page consultée par l'utilisateur. Cela les conduit à penser que les opérateurs ont été Onion.to la configuration des changements d'adresse manuellement, site par site.

Les chercheurs ont examiné le remplacement Bitcoin adresse afin de déterminer combien peuvent avoir été volés par les opérateurs proxy:

L'adresse Bitcoin 13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp a eu un total de 0.15 BTC transféré à elle ($1,661 au moment de la publication – voir Figure 6). La 1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU adresse Bitcoin a eu un total de 1.82 BTC transféré à elle ($20,154 au moment de la publication).

Cependant, on ne sait pas si d'autres adresses Bitcoin sont utilisées dans ce schéma.

En conclusion…

Bien qu'il semble que les opérateurs de onion.top n'ont pas volé un grand nombre de Bitcoins des victimes ransomware encore, autant de victimes ransomware utilisent proxies Tor au lieu d'installer le navigateur Tor, l'impact potentiel est élevé pour les victimes qui tentent de payer la rançon et décrypter leurs fichiers, les chercheurs disent. Cependant, le système met en évidence les relations douteuses dans l'entreprise ransomware, car il pose un problème commercial intéressant pour les auteurs ransomware et questions pratiques pour leurs victimes en augmentant davantage le risque aux victimes qui décident de payer les rançons exigées. Ce système met également en lumière une autre tendance de plus en plus populaire - le vol de cryptocurrencies.

la volatilité continue des marchés et un intérêt croissant crypto-monnaie dans le réseau Tor entraîneront probablement de nouveaux abus potentiels de procurations Tor, créer des risques supplémentaires pour les nouveaux utilisateurs, les chercheurs ont conclu Proofpoint.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord