Stelen van Ransomware Operators en Ransomware Slachtoffers? Mission Possible, Zegt Onion.to Tor-to-Web Proxy-service
Beveiliging onderzoekers van Proofpoint hebben gemeld dat de exploitanten van een Tor proxy dienst werden gedetecteerd Bitcoin adressen terug te plaatsen op ransomware betaling websites. Dit betekent dat ransomware betalingen door de slachtoffers in ruil gestuurd voor decryptie sleutels werden omgeleid naar het adres van ... andere cybercriminelen.
Wat is een Tor proxy dienst? Een website is ontworpen om gebruikers in staat om toegang te krijgen .onion domeinen, die wordt gehost op Tor netwerk. De dienst kan worden gebruikt zonder de Tor browser. Deze diensten zijn gegroeid in populariteit, vooral als het gaat om ransomware. Ransomware vele stukken implementeren URL's voor Tor naar webproxy naast de oorspronkelijke betalingsportaalsite. Deze volmachten zijn handig voor gebruikers die technische mogelijkheden missen.
Tor proxy's zijn eenvoudig te gebruiken. Gebruikers voegen meestal een uitbreiding zoals .om, .taxi naar de ui URL, en het wordt bruikbaar is in een normale browser. Bijvoorbeeld, om gebruik hxxps://robusttldkxiuqc6[.]ui/, gebruikers moeten een speciale Tor browser. Echter, ze kunnen gebruiken hxxps://robusttldkxiuqc6[.]ui[.]naar / in elke browser.
Proofpoint onderzoekers, echter, kwam iets intrigerend - Tor proxies ontworpen om te stelen gelijktijdig van ransomware auteurs (of operators) en hun slachtoffers. De zaak heeft betrekking op de exploitanten van Onion.top Tor-to-web proxy dienst die in het geheim waren het analyseren van Dark Webpagina's die worden geladen via hun portal naar reeksen die lijken op Bitcoin portemonnee adressen typerend voor ransomware. Deze adressen werden vervolgens veranderd met hun eigen. Drie ransomware gezinnen lijken te worden beïnvloed door deze merkwaardige regeling - kastje, Sigma en GlobeImposter.
Hoe heeft Onderzoekers Word je bewust van deze praktijk?
Dankzij een waarschuwing zichtbaar op de Löcker betaalsite die werd geplaatst door de auteurs van het ransomware's. Dit is wat de boodschap leest:
Gebruik geen onion.top, zij vervangen de Bitcoin adres met hun eigen en het stelen van Bitcoins. Om zeker te betalen bent naar het juiste adres, Gebruik Tor Browser.
De Onion.to Tor-to-web proxy dienst met succes geoogst $22,000 zowel vanuit ransomware auteurs en hun slachtoffers.
Tijdens hun onderzoek, experts merkten verschillende Bitcoin vervanging regels portemonnee adres op basis van de pagina geopend door de gebruiker. Dit leidde hen om te suggereren dat Onion.to operators de adreswijzigingen handmatig werden configureren, per site.
De onderzoekers onderzocht de vervanging Bitcoin-adressen om te bepalen hoeveel kan zijn gestolen door de proxy operators:
De Bitcoin-adres 13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp totaal heeft gehad 0.15 BTC overgedragen ($1,661 op het moment van publicatie – zie figuur 6). De Bitcoin-adres 1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU totaal heeft gehad 1.82 BTC overgedragen ($20,154 op het moment van publicatie).
Echter, Het is niet duidelijk of andere Bitcoin-adressen worden gebruikt in dit schema.
Ten slotte…
Terwijl het erop lijkt dat de exploitanten van onion.top niet een groot aantal Bitcoins van ransomware slachtoffers nog niet hebben gestolen, zoveel ransomware slachtoffers gebruiken Tor proxy's in plaats van het installeren van de Tor browser, de potentiële impact is hoog voor de slachtoffers een poging om het losgeld te betalen en decoderen van hun bestanden, onderzoekers zeggen. Niettemin, de regeling wijst op de dubieuze relaties in de ransomware bedrijfsleven, want het werpt een interessant zakelijk probleem voor ransomware auteurs en praktische zaken voor hun slachtoffers door het risico op een verdere verhoging aan slachtoffers die zou beslissen om het gevraagde losgeld te betalen. Deze regeling werpt ook een licht op een andere steeds populairder trend - de diefstal van cryptocurrencies.
Aanhoudende volatiliteit op cryptogeld markten en de toenemende belangstelling voor het Tor-netwerk zal waarschijnlijk verder rijden mogelijk misbruik van Tor proxies, het creëren van extra risico's voor nieuwe gebruikers, Proofpoint onderzoekers concludeerden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: