Roubando de ransomware Operadores e Vítimas ransomware? Missão Impossível, Diz Onion.to Tor-to-web Proxy Service
Pesquisadores de segurança da Proofpoint relataram que os operadores de um serviço de proxy Tor foram detectados substituindo endereços de Bitcoin em sites de pagamento de ransomware. Isso significa que os pagamentos de ransomware enviados pelas vítimas em troca de chaves de descriptografia foram desviados para o endereço de ... outros cibercriminosos.
O que é um serviço de proxy Tor? Um site projetado para permitir que os usuários acessem domínios .onion, que está hospedado na rede Tor. O serviço pode ser usado sem o navegador Tor. Esses serviços têm crescido em popularidade, especialmente quando se trata de ransomware. Muitas peças de ransomware implementam URLs para proxies Tor para web, além do portal de pagamento original. Esses proxies são úteis para usuários que não possuem recursos técnicos.
Os proxies Tor são simples de usar. Os usuários geralmente adicionam uma extensão como .to, .táxi para o URL cebola, e se torna utilizável em um navegador normal. Por exemplo, a fim de usar hxxps://robusttldkxiuqc6[.]cebola/, os usuários precisam de um navegador Tor dedicado. Contudo, eles podem usar hxxps://robusttldkxiuqc6[.]cebola[.]para / em qualquer navegador.
pesquisadores Proofpoint, Contudo, deparei com algo intrigante - proxies Tor projetados para roubar simultaneamente de autores de ransomware (ou operadores) e suas vítimas. O caso envolve os operadores do serviço de proxy Onion.top Tor para web que estavam analisando secretamente páginas Dark Web carregadas por meio de seu portal em busca de strings que se assemelhavam a endereços de carteira Bitcoin típicos de ransomware. Esses endereços foram então alterados com seus próprios. Três famílias de ransomware parecem ser afetadas por este esquema curioso - LockeR, Sigma e GlobeImposter.
Como os pesquisadores ficaram cientes dessa prática?
Graças a um aviso visível no Site de pagamento LockeR que foi postado pelos autores do ransomware. É isso que a mensagem lê:
NÃO use onion.top, eles estão substituindo o endereço de bitcoin pelos seus próprios e roubando bitcoins. Para ter certeza de que você está pagando no endereço correto, usar o navegador Tor.
O serviço de proxy Onion.to Tor para web coletado com sucesso $22,000 tanto de autores de ransomware quanto de suas vítimas.
Durante sua pesquisa, os especialistas notaram várias regras de substituição de endereço de carteira de Bitcoin com base na página acessada pelo usuário. Isso os levou a sugerir que os operadores da Onion.to estavam configurando as alterações de endereço manualmente, site por site.
Os pesquisadores examinaram os endereços de substituição do Bitcoin para determinar quanto pode ter sido roubado pelos operadores de proxy:
O endereço Bitcoin 13YFjj7WqWY5Un7Pgw1VdrpceHpn5BTZdp teve um total de 0.15 BTC transferido para ele ($1,661 no momento da publicação – Veja a figura 6). O endereço Bitcoin 1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU teve um total de 1.82 BTC transferido para ele ($20,154 no momento da publicação).
Contudo, não está claro se outros endereços Bitcoin estão sendo usados neste esquema.
Em conclusão…
Embora pareça que os operadores de onion.top ainda não roubaram um grande número de Bitcoins de vítimas de ransomware, como muitas vítimas de ransomware usam proxies Tor em vez de instalar o navegador Tor, o impacto potencial é alto para as vítimas que tentam pagar o resgate e descriptografar seus arquivos, pesquisadores dizem. Não obstante, o esquema destaca as relações duvidosas no negócio de ransomware, pois levanta um problema de negócios interessante para os autores de ransomware e questões práticas para suas vítimas, aumentando ainda mais o risco para as vítimas que decidiriam pagar os resgates exigidos. Este esquema também lança uma luz sobre outra tendência cada vez mais popular - o roubo de criptomoedas.
A volatilidade contínua nos mercados de criptomoedas e o aumento do interesse na rede Tor provavelmente levarão a novos abusos potenciais de proxies Tor, criando riscos adicionais para novos usuários, Pesquisadores do Proofpoint concluíram.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: