サイバー犯罪者は、Tor プロキシを使用して、ランサムウェアの支払いを自分の Bitcoin ウォレットに転送しています。
ランサムウェア詐欺師は長年、被害者をTorネットワーク上の支払いポータルに誘導してきました。身代金の支払いに必要なTorブラウザをインストールしたくない、またはインストールできない人のために、運営者は通常、onion.topやonion.toなどのTorプロキシに被害者を誘導します。これらのプロキシを使用すると、ユーザーは標準的なウェブブラウザからTorネットワークにアクセスできます。
しかし、ネットセキュリティ会社Proofpointの報告によると、この種の攻撃としては初めてのことと思われるが、onion.topプロキシの運営者が中間者攻撃を実行し、特定のランサムウェアの亜種で元々指定されていたビットコインの支払いアドレスを自分のアドレスにすり替えているという。
Proofpointは、LockeRランサムウェアの支払いポータルに掲載されたメッセージを通じてこの戦術を知りました。このメッセージでは、被害者に対し、身代金の支払いにonion.topを利用しないよう促していました。GlobeImposterとSigmaランサムウェアの背後にいる犯罪者への支払いは、同じ詐欺の標的となっていました。
LockeRランサムウェアの支払いポータルは、被害者にonion.topを避けるようアドバイスしている[出典:Proofpoint]
流用された支払いに関連するビットコインアドレスは、これまでに22,000ドルを稼いでいる。
このルートで身代金を支払う被害者は、身代金を要求している犯人に支払う必要がないため、支払った後でもファイルを復号することはできません。Proofpoint社は、この種の行為は、ランサムウェアビジネスを支えるやや疑わしい信頼関係を損なうものだと述べています。
「これは必ずしも悪いことではないが、ランサムウェアの脅威を及ぼす者にとっては興味深いビジネス上の問題を引き起こし、ランサムウェアの被害者にとっては実際的な問題を引き起こす」と付け加えている。
Sigmaランサムウェアの支払いドメインをTorブラウザ(左)と.top Torプロキシ(右)で表示した画像[出典:Proofpoint]
ランサムウェアを仕掛ける者たちは反撃に出ている。例えば、Magniberランサムウェアは、HTMLソースコード内でビットコインアドレスを4つの部分に分割することで、プロキシによるビットコインアドレスのパターン検出を困難にし、アドレスの置き換えに対抗しているようだ。GlobeImposterランサムウェアは、ユーザーにTorブラウザの使用を促し、.onion形式の支払いアドレスを被害者から隠蔽する。「身代金要求メッセージにリンクとして記載するのではなく、メッセージ内で難読化され、ユーザーがボタンをクリックすると実行時に難読化が解除される」とProofpointは述べている。®