Extorsão de Bitcoin: proxy de Tor são as novas ferramentas

Extorquir bitcoin através de ransomware é um negócio lucrativo. Um relatório da Google informou que um grupo de extorquidores lucrou $25 milhões em dois anos. Agora, pelo menos um proxy do Tor está sendo utilizado, desviando pagamentos de vítimas para suas próprias carteiras.

Os extorquidores, que utilizam um ransomware, pedem que suas vítimas façam o pagamento em bitcoin, utilizando a deep web, para que os criminosos consigam escapar das autoridades.

Quando uma das vítimas não quer ou não sabe instalar o browser Tor, para que consiga acessar os domínios da deep web .onion, os criminosos pedem que as vítimas utilizam um proxy, como o onion.top ou onion.to.

Os serviços de proxy do Tor permitem que seus usuários acessem sites com domínio .onion utilizando um browser comum, como Google Chrome, Edge, ou Firefox. Tudo o que o usuário precisa fazer é acrescentar .top ou .to ao final de qualquer URL Tor.

Estes serviços estão se tornando populares dentre os autores de ransomwares. Além disso, alguns grupos ainda criaram URLs para que as vítimas possam efetuar o pagamento através destes serviços de forma mais fácil.

Segundo a firma de ciber segurança Proofpoint, pelo menos um destes serviços, onion.top, foi pego alterando o endereço de pagamento do ransomware por um dos seus. De acordo com os pesquisadores, o serviço estava fazendo isso secretamente, desviando certa de $22000 desde então.

ransomware

Pesquisadores descobriram que onion.top estava utilizando esta prática após uma ramificação de um ransomware, chamado LockeR, alertou seus usuários para não utilizarem o serviço, já que o mesmo estava roubando seus bitcoins. O alerta diz o seguinte:

“NÃO usem onion.top, eles estão substituindo endereços de pagamento e roubando seus bitcoins. Para ter certeza de que você está pagando para o endereço correto, use Tor Browser.”

Onion.top está alterando o endereço de wallets de, pelo menos, três ramificações diferentes de ransomware: LockeR, Sigma, e GlobeImposter. As wallets aparentemente estão sendo configuradas manualmente, em uma base per-site. A pequena quantia adquirida sugere que ou a jogada não foi bem sucedida, ou nem sempre as wallets são substituídas.

Autores de ransomware contra-atacam

Segundo relatos, os autores de ransomware afetados estão contra-atacando a jogada do onion.top de várias formas. A maioria está fazendo com que os serviços de proxy do Tor sejam evitados, utilizando o próprio Tor para exigir pagamentos. Outros, como o MagniBer, decidiram dividir o endereço enviado à vítima em diferentes tags de HTML, evitando uma substituição automática.

Vítima que decidem pagar o “resgate” usando o serviço de proxy não estão pagando as extorquidores e, provavelmente, não terão seus arquivos liberados, já que, na visão dos criminosos, o pagamento nunca foi feito.

Os pesquisadores da Proofpoint alegaram:

“Embora esta não seja uma coisa necessariamente ruim, levanta um interessante problema nos negócios dos autores de ransomware, tornando-os mais agressivos, o que é uma ameaça maior às vítimas.”

Fonte: CCN.com

Edição: Webitcoin