Posté le janvier 30, 2018 à 8:55
Des hackers utilisent Tor Proxy pour voler Bitcoin Ransomware
Des hackers ont été découverts pour utiliser des sites proxy Tor pour voler bitcoin qui a été précédemment gagné par d’autres hackers pendant les campagnes ransomware.
Ce n’est pas un secret que les crypto-monnaies ont été la propriété des hackers. À mesure que la valeur augmentait et atteignait des sommets records au cours des derniers mois, les pirates sont devenus de plus en plus habiles et novateurs dans l’exploitation du système pour leur propre profit. Cependant, dans une tournure inattendue des événements, les pirates informatiques se sont exploités mutuellement dans la nouvelle course numérique.
Des chercheurs en sécurité ont récemment découvert que des pirates informatiques ciblaient un site Web proxy Tor pour voler des bitcoins à d’anciens gestionnaires de campagnes de rançongiciels.
De manière générale, lors d’une attaque ransomware qui demande des paiements bitcoin, les pirates exigent que la somme soit payée en utilisant un site Tor. Cependant, comme la plupart des victimes n’ont pas installé le navigateur Tor, elles choisissent souvent d’utiliser un site Web Tor proxy pour effectuer la transaction. Or, l’utilisation d’un site Web Tor proxy a ses inconvénients, tels que le fait que les administrateurs du site peuvent donner une puissance illimitée sur le site Web, par exemple en servant de l’homme du milieu ou simplement en remplaçant le contenu.
La dernière tendance a été découverte par la firme de cybersécurité, Proofpoint, après que les chercheurs ont constaté que les administrateurs du site, onion [.] Top, ont écumé les paiements bitcoin faits par les victimes de rançongiciels aux gestionnaires de campagne. Les administrateurs du site ont simplement remplacé l’adresse bitcoin des campagnes de ransomware par la leur. De cette façon, les hackers ont volé à la fois la victime et les pairs de la communauté de piratage.
Dans un post de blog, les chercheurs notent qu’en utilisant cette technique, les administrateurs du site proxy empêchent les pirates informatiques rançonneurs d’accéder à leurs fonds ainsi que les victimes d’accéder à leurs fichiers cryptés. Les chercheurs ont déclaré qu’il s’agit du premier exemple enregistré d’une technique de ce genre.
Selon les chercheurs, le site proxy spécifique a servi d’outils pour plusieurs campagnes de ransomware telles que Sigma, LockerR et Globelmposter. Il est intéressant de noter que toutes les campagnes de ransomwares ont des adresses bitcoin différentes de celles affichées sur leurs sites Tor respectifs. À ce jour, les administrateurs de sites Web responsables ont volé un total de 20 000 $ de bitcoin.
Étonnamment, la plupart des campagnes de ransomware semblent être déjà conscientes de cette tendance émergente, et certaines ont explicitement averti leurs victimes de s’abstenir d’utiliser le site web onion [.] Top pour mener leurs transactions.
Les gestionnaires de la campagne LockerR ransomware ont autrefois ajouté des liens vers le site onion[.] top dans leur note ransomware, cependant, ils ont récemment supprimé ces liens et inclus un avertissement visible qui exhorte les victimes à s’abstenir d’utiliser ce site. En outre, les gestionnaires de la campagne Magniber ransomware ont leur adresse bitcoin dans quatre code source utilisant HTML, ostensiblement pour empêcher des instances similaires d’avoir lieu. Les gestionnaires de Globelmposter ransomware ont demandé aux victimes d’utiliser uniquement le navigateur Tor pour effectuer des paiements.
Les chercheurs de Proofpoint ajoutent que si les administrateurs du site proxy Tor ont seulement volé une quantité relativement faible de bitcoin, la menace présente un danger potentiel car la majorité des victimes de ransomware préfèrent effectuer leur transaction via des sites proxy au lieu du navigateur Tor.
Les chercheurs ont ajouté que la principale préoccupation ici est le risque supplémentaire pour les victimes qui sont déjà en proie à une situation précaire, comme le fait d’avoir leurs fichiers cryptés. En outre, ce dernier cas met peut-être en évidence le désespoir grandissant dans la communauté du piratage de rassembler une quantité raisonnable de crypto-monnaie qu’ils seraient maintenant s’abaisser à voler leurs propres pairs.