1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 703
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 703
    Points : 90 981
    Points
    90 981

    Par défaut Des opérateurs de service proxy Tor ont détourné les paiements de rançon en bitcoins

    Des opérateurs de service proxy Tor ont détourné les paiements en bitcoins,
    effectués par des victimes de ransomwares

    Les chercheurs de Proofpoint ont suivi une menace précédemment non documentée dans laquelle des opérateurs de service proxy Tor ont détourné subrepticement les paiements en bitcoins effectués par des victimes de ransomwares.

    Pour ce faire, ils ont remplacé les adresses Bitcoin contrôlées par les auteurs du ransomware par leur propre portefeuille en modifiant en transit la source des pages Web utilisées pour le paiement.

    « Par conséquent, les opérateurs de proxy empêchent non seulement les victimes de ransomwares d’avoir une clé de déchiffrement pour leurs fichiers après avoir payé une rançon, mais volent également les acteurs malveillants qui diffusent les ransomwares. Cela semble être le premier système de ce type qui affecte à la fois les victimes de ransomwares et les opérateurs », notent les chercheurs.

    Il faut rappeler que de nombreuses souches de ransomwares présentent aux victimes une demande de paiement où les victimes doivent visiter un site Tor pour effectuer un paiement à une adresse Bitcoin spécifiée. Comme la plupart des utilisateurs n'ont généralement pas de navigateur Tor installé, ils peuvent utiliser un proxy Tor à la place – certaines notes de rançon leur suggèrent même de le faire. Les proxies Tor sont des sites Web réguliers qui traduisent le trafic Tor en trafic Web normal. Cependant, cela donne aux opérateurs proxy Tor un pouvoir quasi illimité et ils peuvent alors remplacer le contenu, agissant en tant que man-in-the-middle.

    Les proxies Tor sont simples à utiliser ; parfois, il suffit d’ajouter une extension telle que .to, .cab dans l'URL en oignon, et elle devient utilisable dans un navigateur normal.

    Il y a plusieurs fournisseurs de services proxy avec oignon [.] Parmi les plus populaires. Pour utiliser leur service, les utilisateurs ajoutent l'extension .top après le domaine .onion.

    Les chercheurs sont tombés sur un message laissé par les opérateurs du ransomware LockeR laissé sur le portail de paiement invitant les victimes à ne pas utiliser onion.top pour payer leur rançon.


    « LockeR a été observé pour la première fois en octobre 2017. Plus récemment, il a été livré via une instance du kit d'exploit RIG-v dans une campagne d’attaques. Nous avons comparé le même site de paiement LockeR vu à la fois dans le navigateur Tor et via le proxy .top Tor. Comme prévu, l'adresse Bitcoin a été remplacée dans la page accessible via onion.top. »


    Dans le volet gauche de la figure 3, le domaine de paiement LockeR affiché avec Tor Browser affiche l'adresse de paiement Bitcoin correcte. Pour le ransomware LockeR, ces adresses de paiement sont uniques ; chaque victime dispose de la sienne. Sur la droite, le même domaine de paiement visualisé avec le proxy .top Tor affiche une adresse Bitcoin différente. « Bien que nous ne connaissions pas l'algorithme exact pour la sélection des adresses de substitution, il semble que l'onion.top remplace par la même adresse Bitcoin toutes les victimes de LockeR. »

    Les chercheurs ont fait le même test pour d’autres ransomwares, entre autres Sigma et GlobeImposter. La remarque était la même : les opérateurs du proxy Tor ont remplacé l’adresse donnée par les acteurs derrière le ransomware par les leurs.

    En conclusion, les chercheurs ont avancé que « Bien qu'il semble que les opérateurs d'onion.top n'aient pas encore volé un grand nombre de bitcoins de victimes de ransomwares, parce que de nombreuses victimes utilisent Tor proxies au lieu d'installer le navigateur Tor, l'impact potentiel est élevé pour les victimes qui tentent de payer la rançon. En fin de compte, ce type d'activité sape la relation de confiance quelque peu douteuse qui sous-tend le secteur des rançongiciels. Bien que ce ne soit pas nécessairement une mauvaise chose, cela soulève un problème commercial intéressant pour les acteurs de rançongiciels et des problèmes pratiques pour les victimes de rançongiciels en augmentant encore le risque pour les victimes qui auraient recours au paiement des rançons. »

    Et d’estimer que « La volatilité persistante sur les marchés de la cryptomonnaie et l'intérêt croissant pour le réseau Tor entraîneront probablement d'autres abus potentiels des proxies Tor, créant des risques supplémentaires pour les nouveaux utilisateurs. »

    Source : ProofPoint

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2017
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Charente (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2017
    Messages : 22
    Points : 67
    Points
    67

    Par défaut Le professionnalisme des rançonneurs...

    Sa me fait juste exploser de rire quand on voit le professionnalisme (dans un sens) dont font preuve certains pirates, quand on voit que sur la page prise en image plus haut, ils vous mettent une page de support (avec ticket s'il vous plait !), de contact et un formulaire pour négocier la rançon.

    Après ce n'est peut être que du vent, mais je reste admiratif devant les méthodes mises en place pour mettre en confiance la victime afin de mieux s'assurer qu'elle paye.

    Ils devraient presque écrire les documentations et faire le support de nos logiciels, je suis sur qu'ils seraient très créatifs !

  3. #3
    Membre émérite Avatar de shadowmoon
    Homme Profil pro
    Expert technique et fonctionnel .Net
    Inscrit en
    mai 2005
    Messages
    1 039
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Expert technique et fonctionnel .Net
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2005
    Messages : 1 039
    Points : 2 303
    Points
    2 303

    Par défaut

    Citation Envoyé par KnifeOnlyI Voir le message
    Sa me fait juste exploser de rire quand on voit le professionnalisme (dans un sens) dont font preuve certains pirates,
    Et pas qu'eux, les personnes, qui vendent les logiciels utilisés par les pirates, ont, elles aussi, des plateformes d'aide à l'utilisation et de services après-vente pour leurs clients.
    il n'y a jamais eu qu'un seul chrétien et il est mort sur la croix Friedrich Nietzsche
    L'homme est un apprenti, la douleur est son maitre Alfred de Musset
    C'est avoir tort que d'avoir raison trop tôt Praefectus Praetario Hadrianus

    my best memories ever : 2008 London Circle Line "The Booze Train"

  4. #4
    Membre régulier
    Profil pro
    developpeur
    Inscrit en
    septembre 2010
    Messages
    139
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : septembre 2010
    Messages : 139
    Points : 70
    Points
    70

    Par défaut l'arroseur arrosé

    C'est juste dommage pour les gens qui restent pognés avec le ransomware et bien fait pour les pirates ha ha ha.
    Ce serait bien de les délivrer tout en piquant l'argent :-)

  5. #5
    Membre éprouvé

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    464
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 464
    Points : 1 232
    Points
    1 232

    Par défaut

    Ce sont des voleurs qui volent d'autres voleurs.
    Bref je ne vais pas pleurer

    Mais c'est toujours aussi domages pour les victimes de ces sal*!/.*

    Et ça met en évidence que beaucoup de victimes ne connaissent pas le réseau en oignon
    Et je me demande si beaucoup ne payent pas car elle ne savent pas tout simplement comment faire
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

Discussions similaires

  1. Réponses: 9
    Dernier message: 08/04/2018, 23h08
  2. Réponses: 2
    Dernier message: 23/03/2006, 10h37
  3. Envoyer des informations à un service Web en javascript
    Par gingman dans le forum Général JavaScript
    Réponses: 6
    Dernier message: 16/03/2006, 10h46
  4. implémentation des opérateurs de comparaison
    Par niko8181 dans le forum Algorithmes et structures de données
    Réponses: 5
    Dernier message: 28/04/2005, 11h58
  5. [C#] Icône, barre des tâches et Service Windows
    Par SErhio dans le forum Windows Forms
    Réponses: 17
    Dernier message: 03/09/2004, 12h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo