Служба прокси-сервера Tor поймала переадресацию платежей Bitcoin Ransomeware Extortionists

Вымогательство биткойна с использованием ransomware - выгодный бизнес. В одном отчете Google было указано, что группа вымогателей составляет 25 миллионов долларов через два года. Теперь, по крайней мере, одна прокси-служба Tor пытается добиться своего сокращения, поскольку она была поймана, отвлекая выплаты жертв на собственные кошельки.

Вымогатели Ransomware просят своих жертв заплатить в биткойне и использовать глубокую паутину, чтобы они могли убежать от властей. Когда жертва ransomeware не хочет или не может установить браузер Tor, используемый для доступа к доменам onion глубокой сети, операторы попросят их использовать прокси Tor, например onion.top или onion.to.

Сервисы Tor proxy позволяют пользователям получать доступ к веб-сайту onion, используя обычный браузер, такой как Google Chrome, Edge или Firefox, просто добавив расширение .top или .to в конец любого URL-адреса Tor. Эти услуги становятся все более популярными среди авторов выкупных произведений. Таким образом, несколько штаммов даже добавили альтернативные URL-адреса, чтобы помочь жертвам платить за эти услуги.

Согласно кибербезопасности фирмы Proofpoint , по крайней мере одна из этих сервисов, onion.top, была поймана, заменив адрес оплаты биткойнов на выкуп своего собственного. По словам исследователей, служба тайно делала это и, похоже, заработала более 22 000 долларов от этого хода.

Исследователи обнаружили, что onion.top делал это после того, как заметил, что Ransomware, получивший название LockeR, предупредил пользователей о том, что они не используют эту услугу, поскольку она крадет свой биткойн . Предупреждение гласит:

«НЕ используйте onion.top, они заменяют адрес биткойна своими собственными и крадящими биткойнами. Чтобы быть уверенным, что вы платите за правильный адрес, используйте Tor Browser. "

Onion.top изменяет адреса биткойн-кошельков, по крайней мере, трех разных штаммов вымогательства: LockeR, Sigma и GlobeImposter. Кошельки, по-видимому, настраиваются вручную на основе каждого сайта. Низкая заработанная сумма предполагает, что этот шаг не был успешным, или что кошельки не всегда заменяются.

Авторы Ransomeware борются с движением

Согласно сообщениям, авторы, стоящие за затронутыми штаммами вымогательства , противодействуют ходу onion.top различными способами. Большинство из них просто пытаются заставить пользователей пропускать сервисы Tor proxy вообще и просто платить с помощью браузера Tor. Другие, такие как MagniBer, решили разделить адрес оплаты биткойна, показанный жертве, в разных тегах HTML, чтобы избежать автоматической замены.

Жертвы, которые решают заплатить выкуп и в конечном итоге отправляют свои средства в службу прокси-сервера Tor, не платят вымогателям и вряд ли видят, что их файлы расшифрованы, так как в глазах вымогателя выкуп не был выплачен.

Исследователи Proofpoint заявили:

«Хотя это не обязательно плохо, это вызывает интересную деловую проблему для сторонников угроз вымогательства и практические проблемы для жертв вымогательства».