Tor-proxy onderschept bitcoinbetaling ransomwareslachtoffers
Onderzoekers hebben een kwaadaardige Tor-proxy ontdekt die bitcoinbetalingen van ransomwareslachtoffers onderschept. Veel ransomware-exemplaren maken gebruik van websites die op het Tor-netwerk worden gehost. Op de website staat vermeld wat het slachtoffer moet doen om zijn bestanden te ontsleutelen. Het gaat dan onder andere om het te betalen bedrag en het bitcoin-adres waar het geld naar toe moet worden overgemaakt.
Om websites op het Tor-netwerk te bezoeken moeten gebruikers over Tor Browser beschikken, wat vaak niet het geval is. Via een Tor-proxy is het echter mogelijk om deze websites zonder het gebruik van Tor Browser te bezoeken. Sommige ransomware-exemplaren adviseren zelfs het gebruik van een Tor-proxy. De Tor-proxy zit echter tussen de gebruiker en het Tor-netwerk en kan zodoende allerlei informatie aanpassen.
Onderzoekers van securitybedrijf Proofpoint ontdekten onlangs een ransomware-exemplaar dat waarschuwde voor de Tor-proxy Onion.top, omdat het bitcoin-adressen zou vervangen. Iets wat de onderzoekers inmiddels ook zelf hebben vastgesteld. De Tor-proxy laat gebruikers een ander bitcoin-adres zien dan op de echte Tor-pagina van het ransomware-exemplaar staat vermeld.
Zodoende maken ransomwareslachtoffers het geld naar het verkeerde adres over en worden zo twee keer gedupeerd. De bitcoin-adressen die de Tor-proxy aan slachtoffers laat zien hebben bij elkaar inmiddels 1,82 bitcoin ontvangen, wat op dit moment ruim 16.000 euro is. Het werkelijke bedrag kan mogelijk hoger liggen, aangezien het onbekend is of er ook van andere bitcoin-adressen gebruik wordt gemaakt.
Nope, van degene wiens data versleuteld is. Als slachtoffer ben je dan dus dubbel gepakt.
Nou, nee... Heb je net voor de deadline je betaling gedaan en verwacht je een decryption key, is de betaling niet gelukt. En daarna ben je net te laat met je betaling, of je moet nogmaals betalen.
Als je tegen alle adviezen om criminelen niet te betalen in de wind slaat dan kun je inderdaad dubbel besodemietert worden.
Jammer dat de staat voort voor alle mensen moet denken: De AIVD zal hier veel pareltjes vinden.
dat vrijwel overal over de vloer komt en dan overal toegang weet te krijgen, "google tag manager" -
Wat te denken van deze misconfiguratie urls -> https://www.virustotal.com/#/domain/idtdownloader.96.lt
Een voorbeeld daar en je landt bijvoorbeeld vervolgens op -https://samsunggalaxys9manual.com/ brakke CMS met user enumeration defined. Hallo, bingo, geen aangepaste javascript versies nodig ergo: "strona hakerowana".
Ik gebruik hier een publiek voorbeeld uit de VirusTotal vermeldingen, maar men kan ook de eigen fantasie laten werken,
vooralsnog deel ik slechts open publieke info, je moet alleen maar goed kijken en opletten.
luntrus
Als je tegen alle adviezen om criminelen niet te betalen in de wind slaat dan kun je inderdaad dubbel besodemietert worden.
Jammer dat de staat voort voor alle mensen moet denken: De AIVD zal hier veel pareltjes vinden.
Lees je eigen tekst nou eens na.... Staat er nou echt wat je wilde zeggen?
En vervolgens kom je er na je 2e betaling achter, wanneer het geld wel bij de ''juiste'' partij is gearriveerd dat ze niet reageren, of dat ze je proberen nog verder te infecteren met malware. Wel jammer dat je nimmer garantie zal krijgen dat een betaling daadwerkelijk resulteert in het terug krijgen van je bestanden (vaak wel, goed voor het ''business model'' van de cybercrimineel).
Ander nadeel is dat je, wanneer je betaalt, snel terecht zal komen op lijsten die criminelen bijhouden van mensen die bereid zijn te betalen; interessante doelwitten om nogmaals aan te vallen.
Sommigen zien hier kennelijk het geld van de slachtoffers als rechtmatig eigendom van de ransomware crimineel ;)
Wat is de relevantie daarvan ? Het gaat niet om de vraag of je TOR browser gebruikt, of een VPN client met TOR geintegreerd. Het gaat om de vraag of je verbinding gaat via deze onderscheppende TOR proxy.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.