Вымогательство биткоинов с помощью блокировки компьютеров ransomware – выгодный бизнес. В одном из отчетов Google говорилось, что группа вымогателей собрала урожай в 25 миллионов долларов за два года. Сегодня, по крайней мере, одна из прокси-служб сети Tor пытается замести следы после уличения в переводе платежей потерпевших на собственные кошельки.

Вымогатели ransomware просят своих жертв заплатить в биткоине и используют даркнет во избежание преследования властей. Если жертва не хочет или не может установить браузер Tor, необходимый для доступа к доменам .onion глубокой сети, операторы просят их использовать прокси Tor, например onion.top или onion.to.

Прокси-службы Tor дают пользователям доступ к веб-сайту .onion, используя обычный браузер, например, Google Chrome, Edge или Firefox, просто добавив расширение .top или .to в конце любого URL-адреса Tor. Эти возможности становятся все более популярными среди создателей ransomware. Таким образом, несколько штаммов даже добавили альтернативные URL-адреса, вынуждая потерпевших платить за эти услуги.

Согласно данным фирмы по кибербезопасности Proofpoint, по меньшей мере одна из таких служб – onion.top – была поймана на замене адреса ransomware для оплаты биткоинов собственным кодом для выкупа. По словам исследователей, служба делала это тайком и в ходе этого получила прибыль свыше 22 000 долларов.

Исследователями было обнаружено, что onion.top делал это после того, как заметил, что штамм ransomware под названием LockeR предупредил пользователей, чтобы они не пльзовались этим сервисом, поскольку он крадет биткоины. Предупреждение гласит:

«Не используйте onion.top, они заменяют адрес биткоина на свой собственный и крадут биткоины. Для уверенности, что вы платите по правильному адресу, используйте браузер Tor».

Onion.top меняет адреса биткоин-кошельков, по крайней мере, трех разных штаммов ransomware: LockeR, Sigma и GlobeImposter. Вероятно, кошельки настраиваются вручную на основе каждого сайта. Небольшая сумма заработка свидетельствует о том, что этот шаг не был успешным, или что не всегда происходит замена кошельков.

Согласно отчетам, авторы, стоящие за упомянутыми ransomware-штаммами, противодействуют onion.top различными способами. Большинство из них просто пытаются заставить пользователей вообще игнорировать прокси-сервисы Tor и просто платить с помощью браузера Tor. Другие, такие как MagniBer, решили разделить адрес оплаты биткоина, показанные жертве, в разных тегах HTML во избежание автозамены.

Потерпевшие, решившие заплатить выкуп и в конечном итоге отправляющие свои средства в службу прокси-сервера Tor, не платят ransomware-вымогателям и не видят, что их файлы расшифрованы, так как вымогатели не видят выплату выкупа.

Исследователи Proofpoint заявили:

«Хоть это и не всегда плохо, но такой ход вещей поднимает интересную деловую проблему для ransomware-вымогателей и практические сложности для их жертв».