Por Robert Hazlitt  

Según los investigadores, los operadores del proxy de Onion.top analizan en secreto las páginas de la deepweb para dar con cadenas similares a una dirección Bitcoin y reemplazarlas con la suyas propias. Hasta el momento, se estima que la estafa ha reunido $22.000

*** 

Los operadores de al menos un servicio proxy de Tor fueron capturados recientemente reemplazando las direcciones de Bitcoin en los sitios de pago de rescate ransomware, desviando fondos destinados a pagar descifradores de ransomware a los operadores del sitio.

Un “servicio proxy Tor” es un sitio web que permite a los usuarios acceder a los dominios .onion alojados en la red Tor sin necesidad de instalar el navegador Tor. Los servicios proxy de Tor permiten a los usuarios acceder usando un navegador común como Google Chrome, Edge o Firefox, simplemente agregando la extensión .top o .to al final de cualquier URL de Tor.

Pero los investigadores de la firma estadounidense de seguridad cibernética Proofpoint dicen que han atrapado a uno de estos servidores proxy de Tor robando tanto a los autores de ransomware como a las víctimas de ransomware.

Los extorsionistas de Ransomware les pedían a sus víctimas que pagaran en bitcoins y que utilizaran la deepweb para poder escapar de las autoridades. Cuando una víctima de ransomware no quería o no podía instalar el navegador Tor, utilizado para acceder a los dominios .onion de la web profunda, los operadores le pedían que utilizara un proxy de Tor, como onion.top u onion.to.

Según los investigadores, los operadores del servicio proxy de Onion.top están analizando en secreto las páginas de la web oscura cargadas a través de su portal para cadenas que se parecen a las direcciones de billetera Bitcoin y reemplazándolas por una propia.

Proofpoint dice que notó el comportamiento de intercambio de direcciones de Bitcoin en los portales de pago de rescate para tres familias de ransomware: Locke, Sigma y GlobeImposter.

De hecho, los investigadores dicen que notaron el comportamiento debido a un mensaje de advertencia publicado en el sitio de pago de LockeR realizado por los propios autores de LockeR:

NO uses onion.top, están reemplazando la dirección Bitcoin por la suya y robando bitcoins“, dice el mensaje. “Para asegurarse de que está pagando a la dirección correcta, use el navegador Tor“.

Según los investigadores, el servicio secretamente estaba haciendo esto, y aparentemente obtuvo más de $ 22,000.

La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.

Onion.top está alterando las direcciones de billeteras Bitcoin de al menos tres cepas diferentes de ransomware: LockeR, Sigma y GlobeImposter. Las carteras aparentemente están configuradas manualmente, por sitio. La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.

Fuente: Cryptocoinsnewsbleepingcomputer

Versión de Jacobo Villalobos para DiarioBitcoin

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.