image

Tor-proxy onderschept bitcoinbetaling ransomwareslachtoffers

dinsdag 30 januari 2018, 09:35 door Redactie, 11 reacties

Onderzoekers hebben een kwaadaardige Tor-proxy ontdekt die bitcoinbetalingen van ransomwareslachtoffers onderschept. Veel ransomware-exemplaren maken gebruik van websites die op het Tor-netwerk worden gehost. Op de website staat vermeld wat het slachtoffer moet doen om zijn bestanden te ontsleutelen. Het gaat dan onder andere om het te betalen bedrag en het bitcoin-adres waar het geld naar toe moet worden overgemaakt.

Om websites op het Tor-netwerk te bezoeken moeten gebruikers over Tor Browser beschikken, wat vaak niet het geval is. Via een Tor-proxy is het echter mogelijk om deze websites zonder het gebruik van Tor Browser te bezoeken. Sommige ransomware-exemplaren adviseren zelfs het gebruik van een Tor-proxy. De Tor-proxy zit echter tussen de gebruiker en het Tor-netwerk en kan zodoende allerlei informatie aanpassen.

Onderzoekers van securitybedrijf Proofpoint ontdekten onlangs een ransomware-exemplaar dat waarschuwde voor de Tor-proxy Onion.top, omdat het bitcoin-adressen zou vervangen. Iets wat de onderzoekers inmiddels ook zelf hebben vastgesteld. De Tor-proxy laat gebruikers een ander bitcoin-adres zien dan op de echte Tor-pagina van het ransomware-exemplaar staat vermeld.

Zodoende maken ransomwareslachtoffers het geld naar het verkeerde adres over en worden zo twee keer gedupeerd. De bitcoin-adressen die de Tor-proxy aan slachtoffers laat zien hebben bij elkaar inmiddels 1,82 bitcoin ontvangen, wat op dit moment ruim 16.000 euro is. Het werkelijke bedrag kan mogelijk hoger liggen, aangezien het onbekend is of er ook van andere bitcoin-adressen gebruik wordt gemaakt.

Image

Reacties (11)
30-01-2018, 11:14 door Anoniem
Há. Criminelen die van criminelen stelen. Altijd leuk.
30-01-2018, 11:29 door Anoniem
Ohjee, hackersoorlog...
30-01-2018, 13:13 door Anoniem
Door Anoniem: Há. Criminelen die van criminelen stelen. Altijd leuk.

Nope, van degene wiens data versleuteld is. Als slachtoffer ben je dan dus dubbel gepakt.
30-01-2018, 13:23 door Anoniem
Door Anoniem: Há. Criminelen die van criminelen stelen. Altijd leuk.
Ze stelen nog steeds van de ransome-ware slachtoffers.
30-01-2018, 15:22 door Krakatau
Door Anoniem: Há. Criminelen die van criminelen stelen. Altijd leuk.

Nou, nee... Heb je net voor de deadline je betaling gedaan en verwacht je een decryption key, is de betaling niet gelukt. En daarna ben je net te laat met je betaling, of je moet nogmaals betalen.
30-01-2018, 16:11 door Anoniem
Hadden de onderzoekers ook VPN verbindingen meegenomen die toegang tot het Tor geïntrigeerd hebben?
Als je tegen alle adviezen om criminelen niet te betalen in de wind slaat dan kun je inderdaad dubbel besodemietert worden.
Jammer dat de staat voort voor alle mensen moet denken: De AIVD zal hier veel pareltjes vinden.
30-01-2018, 23:29 door Anoniem
Maar je moet ook wel een beetje inventief willen denken en een 'vriendje' gebruiken,
dat vrijwel overal over de vloer komt en dan overal toegang weet te krijgen, "google tag manager" -

Wat te denken van deze misconfiguratie urls -> https://www.virustotal.com/#/domain/idtdownloader.96.lt

Een voorbeeld daar en je landt bijvoorbeeld vervolgens op -https://samsunggalaxys9manual.com/ brakke CMS met user enumeration defined. Hallo, bingo, geen aangepaste javascript versies nodig ergo: "strona hakerowana".

Ik gebruik hier een publiek voorbeeld uit de VirusTotal vermeldingen, maar men kan ook de eigen fantasie laten werken,

vooralsnog deel ik slechts open publieke info, je moet alleen maar goed kijken en opletten.

luntrus
31-01-2018, 03:50 door Anoniem
Door Anoniem: Hadden de onderzoekers ook VPN verbindingen meegenomen die toegang tot het Tor geïntrigeerd hebben?
Als je tegen alle adviezen om criminelen niet te betalen in de wind slaat dan kun je inderdaad dubbel besodemietert worden.
Jammer dat de staat voort voor alle mensen moet denken: De AIVD zal hier veel pareltjes vinden.

Lees je eigen tekst nou eens na.... Staat er nou echt wat je wilde zeggen?
31-01-2018, 08:39 door Anoniem
Nou, nee... Heb je net voor de deadline je betaling gedaan en verwacht je een decryption key, is de betaling niet gelukt. En daarna ben je net te laat met je betaling, of je moet nogmaals betalen.

En vervolgens kom je er na je 2e betaling achter, wanneer het geld wel bij de ''juiste'' partij is gearriveerd dat ze niet reageren, of dat ze je proberen nog verder te infecteren met malware. Wel jammer dat je nimmer garantie zal krijgen dat een betaling daadwerkelijk resulteert in het terug krijgen van je bestanden (vaak wel, goed voor het ''business model'' van de cybercrimineel).

Ander nadeel is dat je, wanneer je betaalt, snel terecht zal komen op lijsten die criminelen bijhouden van mensen die bereid zijn te betalen; interessante doelwitten om nogmaals aan te vallen.
31-01-2018, 08:45 door Anoniem
Ze stelen nog steeds van de ransome-ware slachtoffers.

Sommigen zien hier kennelijk het geld van de slachtoffers als rechtmatig eigendom van de ransomware crimineel ;)
31-01-2018, 08:47 door Anoniem
Hadden de onderzoekers ook VPN verbindingen meegenomen die toegang tot het Tor geïntrigeerd hebben?

Wat is de relevantie daarvan ? Het gaat niet om de vraag of je TOR browser gebruikt, of een VPN client met TOR geintegreerd. Het gaat om de vraag of je verbinding gaat via deze onderscheppende TOR proxy.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.