Proxy do Tor Engana Vítimas de Ransomware e Operadores
Em abril de 2017, a Symantec publicou um relatório de pesquisa segundo o qual cerca de 47% das vítimas que pagam o resgate após uma infecção por ransomware nunca recuperam seus arquivos. Agora, você pode ser amargo e dizer que é isso que eles merecem por tentar negociar com os cibercriminosos, mas vamos dar uma olhada na situação de outra perspectiva. Você acorda um dia e todas as suas fotos de família, vídeos e documentos importantes desaparecem. Você não tem um backup e não quer perder os dados preciosos. Para algumas pessoas, pagar o resgate é a única alternativa.
E, verdade seja dita, enquanto os piores operadores de ransomware só querem fugir com seus bitcoins e deixá-lo de mãos vazias, muitos deles cumprem sua promessa e dão a você um decodificador funcional depois que o pagamento termina. Mas e se os operadores honestos (ou, mais precisamente, não completamente desonestos) de ransomware também forem enganados. Parece que isso está acontecendo agora e, infelizmente, o esquema (detalhado pelos pesquisadores da Proofpoint na segunda-feira) afeta tanto os autores do ransomware quanto as vítimas. Aqui está como isso funciona.
Como você provavelmente sabe, depois de criptografar seus arquivos, o executável do ransomware exibirá uma nota de resgate dizendo como recuperá-los. Geralmente, há uma página de pagamento que, por razões óbvias, está hospedada na rede Tor anônima. Para isso, você precisa instalar o navegador Tor ou acessar um dos serviços de proxy Tor (também conhecido como gateway Tor) disponíveis para os usuários do Clearnet.
Para alguns, a instalação de um navegador Tor será fácil, mas outros podem ser desafiadores, e há operadores de ransomware que realmente incentivam o uso de proxies Tor. Um dos gateways Tor populares é o topo da cebola [.], E seus desenvolvedores decidiram ganhar alguns dólares roubando vítimas de ransomware sem o incômodo de executar uma operação de ransomware.
O que acontece com os proxies do Tor é que as pessoas que os operam estão praticamente no meio, ou seja, lidam com o tráfego entre o PC da vítima e a página de pagamento, e não há nada para impedi-las de alterá-lo. É por isso que, quando as vítimas visitam uma página de pagamento pelo topo da cebola [.], Elas podem não chegar à página de pagamento real. A maior parte é a mesma: as instruções, a demanda de resgate, o e-mail que eles precisam entrar em contato após o processamento da transação etc. A única diferença entre o portal de pagamento real hospedado pelo Tor e o portal falso servido pelo onion[.]top é a carteira Bitcoin citada.
Exemplo de captura de tela do portal de pagamento hospedado pelo Tor - Fonte: Proofpoint.com
Como resultado, em vez de pagar por um decodificador, as vítimas enviam dinheiro para uma carteira controlada pelas pessoas que usam o onion[.]top. Os operadores de ransomware não recebem seu dinheiro e as vítimas não recebem seus arquivos de volta.
Parece que o esquema funcionou. A Proofpoint observou que as páginas de pagamento da Sigma, GlobeImposter e LockeR estão exibindo carteiras erradas quando vistas pelo proxy onion[.]top, e os autores do ransomware estão tentando impedir o golpe, colocando avisos e modificando o código HTML para que a carteira não pode ser trocado automaticamente. No entanto, as carteiras de Bitcoin erradas presentes nas capturas de tela da Proofpoint receberam pouco mais de 2BTC desde que foram criadas, embora seja necessário observar que ninguém pode dizer quanto disso está conectado às páginas de pagamento alteradas.
A frase "Não há honra entre ladrões" pode ser um clichê, mas ilustra perfeitamente a situação. "Fazer backup dos seus dados" também está se tornando um clichê lenta mas seguramente, mas como você pode ver, seguir o conselho certamente pode poupar muitos problemas.