Ransomware afectado de Tor desviaba bitcoins a billeteras de extorsionistas

Según los investigadores, los operadores del proxy de Onion.top analizan en secreto las páginas de la deepweb para dar con cadenas similares a una dirección Bitcoin y reemplazarlas con la suyas propias. Hasta el momento, se estima que la estafa ha reunido $22.000

*** 

Los operadores de al menos un servicio proxy de Tor fueron capturados recientemente reemplazando las direcciones de Bitcoin en los sitios de pago de rescate ransomware, desviando fondos destinados a pagar descifradores de ransomware a los operadores del sitio.

Un “servicio proxy Tor” es un sitio web que permite a los usuarios acceder a los dominios .onion alojados en la red Tor sin necesidad de instalar el navegador Tor. Los servicios proxy de Tor permiten a los usuarios acceder usando un navegador común como Google Chrome, Edge o Firefox, simplemente agregando la extensión .top o .to al final de cualquier URL de Tor.

Pero los investigadores de la firma estadounidense de seguridad cibernética Proofpoint dicen que han atrapado a uno de estos servidores proxy de Tor robando tanto a los autores de ransomware como a las víctimas de ransomware.

Los extorsionistas de Ransomware les pedían a sus víctimas que pagaran en bitcoins y que utilizaran la deepweb para poder escapar de las autoridades. Cuando una víctima de ransomware no quería o no podía instalar el navegador Tor, utilizado para acceder a los dominios .onion de la web profunda, los operadores le pedían que utilizara un proxy de Tor, como onion.top u onion.to.

Según los investigadores, los operadores del servicio proxy de Onion.top están analizando en secreto las páginas de la web oscura cargadas a través de su portal para cadenas que se parecen a las direcciones de billetera Bitcoin y reemplazándolas por una propia.

Proofpoint dice que notó el comportamiento de intercambio de direcciones de Bitcoin en los portales de pago de rescate para tres familias de ransomware: Locke, Sigma y GlobeImposter.

De hecho, los investigadores dicen que notaron el comportamiento debido a un mensaje de advertencia publicado en el sitio de pago de LockeR realizado por los propios autores de LockeR:

NO uses onion.top, están reemplazando la dirección Bitcoin por la suya y robando bitcoins“, dice el mensaje. “Para asegurarse de que está pagando a la dirección correcta, use el navegador Tor“.

Según los investigadores, el servicio secretamente estaba haciendo esto, y aparentemente obtuvo más de $ 22,000.

La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.

Onion.top está alterando las direcciones de billeteras Bitcoin de al menos tres cepas diferentes de ransomware: LockeR, Sigma y GlobeImposter. Las carteras aparentemente están configuradas manualmente, por sitio. La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.

Fuente: Cryptocoinsnewsbleepingcomputer

Versión de Jacobo Villalobos para DiarioBitcoin

Advertisements

Related posts