ビットコインをハイジャック。ランサムウェアの攻撃者までも被害者に

セキュリティHotニュース

1tor-proxy-theft.jpeg

最悪の一日のお話をしましょう...

ーまず、ランサムウェアに感染し、匿名のハッカーにビットコインの支払いを要求されてしまいます。

ーその後、ファイルをバックアップしていなかったことに気付き、ファイルを元に戻すには支払うしかありません。

ー最後に、ビットコインをオンラインで購入する方法を調べ、ハッカーに身代金を支払いましたが、

 他の誰かに転送されてしまいました。

ーつまり、あなたのファイルはまだ暗号化されたままで、あなたはすべてのお金を失ってしまいました。

これは、ランサムウェアの攻撃者とその被害者の両方から盗む詐欺を特定した、と主張するセキュリティ調査員が書いた、最悪な日のシナリオです。

背景はこうです。

ランサムウェアが被害者にダークウェブ上のTor.onionサイトを介して支払いを要求することは珍しくありません。もちろん、ランサムウェアの一般的な被害者はおそらくダークウェブにアクセスしたことはないでしょうし、おそらくTorブラウザをインストールする方法について、何の手がかりも持っていないでしょう。

そのため、代わりにTorプロキシが使用される可能性があります。Torプロキシサービスは、中間者攻撃のような動きをして、誰でもウェブサイトに.onionアドレスを入力するか、 ".to"や ".top"などのURLにサフィックスを追加するだけで、リクエストを完了することができるようになります。特別なソフトウェアをインストールする必要はありません。

2onion-top.jpeg

もちろん、あなたが見ている情報や実際に送信しているデータに干渉していないTorプロキシサービスには、非常に大きな信頼が置かれています。

興味深い点として、セキュリティ調査員は、少なくとも1つのTorプロキシが、ランサムウェアの支払いを妨害しており、ランサムウェアの攻撃者と犠牲者の両方から効果的に盗み出しているという証拠を掴みました。 Proofpoint社によると、Onion.topをTor-to-Webプロキシ経由で閲覧すると、ランサムウェアを支払うためのウェブページが秘密裏に変更され、異なるビットコインアドレスが表示されます。

Sigma、GlobeImposter、LockeRのようなランサムウェアは全て影響を受けていて、ビットコインウォレットのアドレスをプロキシ経由で巧妙に切り替えられ、本物のTorブラウザ経由で表示する場合とは異なる支払いアドレスが表示されてしまいます。

3payment-compared.jpeg

ランサムウェアがOnion.topを使用しないよう、実際に被害者に警告していることは驚くことではないでしょう。

4locker-warning.jpeg

いつもお伝えしていますが、ランサムウェアの影響を避ける最善の方法は、コンピュータやスマートフォンを最初に感染させることではありません。あなたが次の被害者になる前に、Hot for Securityのヒントに必ず従い、ランサムウェアの脅威を減らしていきましょう。

翻訳元記事:Bitcoin hijack steals from both ransomware authors AND their victims