Прокси-сервис для Tor ворует биткоины, направленные вирусам-вымогателям

Вымогательство биткоинов с помощью вируса-вымогателя – достаточно прибыльный бизнес.

По сообщениям Google, одной группе таких вирусов удалось похитить 25 миллионов долларов за два года. Теперь как минимум один прокси-сервис для браузера Tor пытается получить свою долю. Было обнаружено, что сервис перенаправляет платежи жертв вирусов-вымогателей на свои кошельки.

Вирусы-вымогатели требуют оплаты в биткоинах, при этом используя глубинную сеть для избегания контроля властей. Когда жертва такого вируса не хочет или не может установить браузер Tor, который используется для доступа к доменам .onion глубинной сети, операторы просят использовать прокси-сервис для Tor, такой как onion.top или onion.to.

Прокси-сервис Tor дает пользователям доступ к веб-сайтам .onion с обычных браузеров, как Google Chrome, Edge или Firefox, просто путем добавления расширения .top или .to в конце любого URLTor. Эти сервисы пользуются большой популярностью у авторов вирусов-вымогателей. При чем до такой степени, что несколько из них добавили альтернативные URL для помощи жертвам при оплате с использованием этих сервисов.

По данным фирмы Proofpoint, занимающейся кибербезопасностью, было обнаружено, что, по крайней мере, один из таких сервисов – onion.top – заменял адреса вирусов для оплаты в биткоинах на собственные. По словам исследователей, сервис делал это тайно и в результате получил более 22 000 долларов.

Исследователи обнаружили такое поведение onion.top, когда заметили предупреждение одного из вирусов-вымогателей под названием LockeR не использовать сервис, поскольку он похищает биткоины. В предупреждении указано:

«НЕ используйте onion.top, они заменяют адрес для оплаты на собственный и воруют биткоины. Для уверенности в правильности адреса оплаты используйте браузер Tor».

Onion.top изменяет адреса биткоин-кошельков, по крайней мере, трех разных вирусов-вымогателей – LockeR, Sigma и GlobeImposter. Кошельки конфигурируются вручную на основе каждого сайта. Небольшой заработок предполагает, что действие было неуспешным, или что кошельки заменяются не всегда.

Противостояние авторов вирусов-вымогателей

Согласно сообщениям, авторы пострадавших вирусов-вымогателей противостоят onion.top различными способами. Большинство просто указывают пользователям не использовать прокси-сервисы Tor и платить через браузер Tor. Но некоторые, как MagniBer, решили разделить адреса для оплаты в биткоинах, указываемые жертвам, по разным тегам HTML для избегания автоматической замены.

Жертвы, которые решили заплатить выкуп, но их средства были отправлены на прокси-сервис Tor, не платят вирусам-вымогателям. Поэтому их файлы не будут расшифрованы, поскольку вымогатели так и не получат выкупа.

Исследователи Proofpoint отметили:

«Это не обязательно плохо, но это порождает интересную бизнес-проблему для злоумышленников, которые создают такие вирусы, и практические проблемы для жертв этих вирусов».