Un Ransomware es un tipo de malware que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción. Un servicio proxy de Tor fue descubierto al desviar pagos de bitcoin por extorsiones de Ransomwares.

¿Cómo funciona un ransomware?

Un ransomware camufla el código malicioso dentro de otro archivo o programa apetecible para el usuario que invite a hacer clic. Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información.

¿Qué tiene que ver los servicios Proxys de Tor?

Cuando es emitido el mensaje de advertencia a la víctima, este es obligado a pagar el rescate de su información por medio de bitcoins y debe ser realizado en la Deep Web para acceder a los dominios .onion, si la víctima no puede o quiere usar el navegador Tor, los operadores les pide que usen un proxy Tor, como onion.top o onion.to.

Como explica el medio electrónico de criptomonedas CCN: ”Los servicios proxy de Tor permiten a los usuarios acceder a .onion websitse usando un navegador común como Google Chrome, Edge o Firefox, simplemente agregando la extensión .top o .to al final de cualquier URL de Tor”.

Según una investigación de la empresa de seguridad cibernética Proofpoin, indica que al menos uno de los servicios onion.top, fue descubierta al ridereccionar el destino del pago del ransomware por la suya, obteniendo más de $22.000 por el traslado. La mudanza fue descubierta al notar un llamado de advertencia a no usar este servicio notificando del traslado de pagos en una cepa de Ransomware llamada LockeR. Esto implica que si una victima accecde a pagar el rescate, sus datos no son descifrados porque a los ojos del extorsionador nunca recibió el pago.

Los autores de Ransomwares estan contrarrestando el movimiento de onion.top por medio de una variedad de formas. Unos obligan a sus victimas simplemente a usar directamente el navegador Tor o  dividir la dirección de pago de bitcoin que se muestra a la víctima a través de diferentes etiquetas HTML para evitar el remplazo. Como indican los investigadores de Proofpoint: “Si bien esto no es necesariamente algo malo, plantea un problema comercial interesante para los actores de amenazas de ransomware y problemas prácticos para las víctimas de ransomware”.