Por Robert Hazlitt Según los investigadores, los operadores del proxy de Onion.top analizan en secreto las páginas de la deepweb para dar con cadenas similares a una dirección Bitcoin y reemplazarlas con la suyas propias. Hasta el momento, se estima que la estafa ha reunido $22.000
***
Los operadores de al menos un servicio proxy de Tor fueron capturados recientemente reemplazando las direcciones de Bitcoin en los sitios de pago de rescate ransomware, desviando fondos destinados a pagar descifradores de ransomware a los operadores del sitio.
Un “servicio proxy Tor” es un sitio web que permite a los usuarios acceder a los dominios .onion alojados en la red Tor sin necesidad de instalar el navegador Tor. Los servicios proxy de Tor permiten a los usuarios acceder usando un navegador común como Google Chrome, Edge o Firefox, simplemente agregando la extensión .top o .to al final de cualquier URL de Tor.
Pero los investigadores de la firma estadounidense de seguridad cibernética Proofpoint dicen que han atrapado a uno de estos servidores proxy de Tor robando tanto a los autores de ransomware como a las víctimas de ransomware.
Los extorsionistas de Ransomware les pedían a sus víctimas que pagaran en bitcoins y que utilizaran la deepweb para poder escapar de las autoridades. Cuando una víctima de ransomware no quería o no podía instalar el navegador Tor, utilizado para acceder a los dominios .onion de la web profunda, los operadores le pedían que utilizara un proxy de Tor, como onion.top u onion.to.
Según los investigadores, los operadores del servicio proxy de Onion.top están analizando en secreto las páginas de la web oscura cargadas a través de su portal para cadenas que se parecen a las direcciones de billetera Bitcoin y reemplazándolas por una propia.
Proofpoint dice que notó el comportamiento de intercambio de direcciones de Bitcoin en los portales de pago de rescate para tres familias de ransomware: Locke, Sigma y GlobeImposter.
De hecho, los investigadores dicen que notaron el comportamiento debido a un mensaje de advertencia publicado en el sitio de pago de LockeR realizado por los propios autores de LockeR:
“NO uses onion.top, están reemplazando la dirección Bitcoin por la suya y robando bitcoins“, dice el mensaje. “Para asegurarse de que está pagando a la dirección correcta, use el navegador Tor“.
Según los investigadores, el servicio secretamente estaba haciendo esto, y aparentemente obtuvo más de $ 22,000.
La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.
Onion.top está alterando las direcciones de billeteras Bitcoin de al menos tres cepas diferentes de ransomware: LockeR, Sigma y GlobeImposter. Las carteras aparentemente están configuradas manualmente, por sitio. La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.
Fuente: Cryptocoinsnews, bleepingcomputer
Versión de Jacobo Villalobos para DiarioBitcoin
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Noticias
Donald Trump y DWF Labs firman alianza estratégica por USD 25 millones en el sector cripto
Destacadas
CEO de GameStop compra USD $10 millones en acciones tras anuncio de estrategia Bitcoin
Bancos y Pagos
Bitcoin se está quedando excluido de la demanda de refugio seguro, asegura JPMorgan
Destacadas