Прокси-сервис Tor вступил в борьбу с вирусами-вымогателями
Вымогание биткоинов посредством запуска вирусов — прибыльный бизнес. Только в отчете Google было упомянуто о группе мошенников, заработавших целых $25 миллионов подобным образом за 2 года. Один из прокси-сервисов Tor планирует положить этому конец путем перехвата средств, похищенных у жертв, и отправки их на собственные кошельки.
Распространители вирусов-вымогателей требуют от своих жертв заплатить им некоторую сумму в биткоинах, используя даркнет для того, чтобы обойти внимание властей. Если жертва не хочет или не может установить браузер Tor, необходимый для получения доступа к находящимся в даркнете доменам .onion, вымогатели предлагают им использовать прокси-Tor, вроде onion.top или onion.to.
Прокси-сервисы позволяют людям получить доступ к сайтам .onion через обычные браузеры, вроде Google Chrome, Edge и Firefox, просто добавив расширение .top или .to к окончанию каждого Tor URL. Такие сервисы становятся все популярнее у распространителей вирусов-вымогателей. Некоторые даже добавили альтернативные URL для того, чтобы помочь жертвам оплатить такого рода «услуги».
Согласно Proofpoint, организации, специализирующейся на кибербезопасности, как минимум один такой сервис, onion.top, был замечен за перемещением средств, полученных путем такого вымогания, на другие адреса. Таким образом было собрано уже около $22 000.
Исследователи обнаружили, что onion.top занимается этим, после того, как один из распространителей вируса, под ником LockeR, призвал людей не использовать сервис, поскольку он ворует биткоины:
«НЕ используйте onion.top, они заменяют биткоин-адреса своими собственными и похищают биткоины. Для того, чтобы быть уверенным в том, что вы посылаете средства на верный адрес, пользуйтесь браузером Tor».
Onion.top заменяли адреса как минимум в трех случаях вымогательства: у LockeR, Sigma и GlobeImposter. Кошельки, по видимому, настраивались вручную. Небольшой объем собранных таким образом средств говорит или о периодических неудачах, или же о том, что адреса заменялись не всегда.
Согласно отчету, злоумышленники обходят onion.top разными путями. Некоторые просто стараются сделать так, чтобы люди избегали прокси-сервисов Tor, совершая оплату только через браузер Tor. Другие, как например MagniBer, решили разделить биткоин-адрес, на который жертва должна отправить деньги, в нескольких HTML-тегах, чтобы избежать автозамены.
Жертвы, решившие заплатить вымогателям через прокси-сервисы, таким образом не выполняют условия злоумышленников, ведь, в глазах вымогателя, оплата не была совершена, а потому пострадавшие вряд ли увидят свои файлы в дешифрованном виде.
Отчет Proofpoint заключает:
«Хотя это не совсем плохая вещь, она создает интересную бизнес-проблему для распространителей вирусов-вымогателей и практические сложности для их жертв».
