Мошенники предупреждают жертв о мошенничестве

Организаторы атак зловредов-шифровальщиков, причиняющие колоссальные проблемы пользователям во всем мире, сами неожиданно столкнулись с неприятностями. Классическая схема подобных атак общеизвестна: вымогательское ПО шифрует файлы на инфицированном устройстве, и хакеры требуют выкуп, после получения которого предоставляют (кстати сказать, далеко не всегда) пользователю ключ для расшифровки и возвращения доступа к своим данным. Выкуп, как правило, выплачивается в криптовалюте на биткоин-кошельки, скрытые в анонимной сети Tor. При этом многие пользователи не имеют ни браузера Tor, ни навыков общения с анонимной сетью. Но всего этого и не требуется. Существует немало Tor-прокси-сервисов, которые предоставляют возможность доступа в анонимную сеть с самых обычных браузеров.

Одним из таких сервисов является Onion.top. До недавнего момента он активно использовался кибервымогателями: хакеры рекомендовали его своим жертвам для доступа в Tor и уплаты выкупа. Однако несколько дней назад ситуация резко изменилась. На платежной странице, адресованной жертвам атак шифровальщика LockeR, появилось специальное предупреждение: ни в коем случае не использовать для платежей сервис Onion.top, поскольку он похищает средства. С той же проблемой столкнулись и хакеры, стоящие за атаками зловредов GlobeImposter и Sigma. Исследователи компании Proofpoint, обнаружившие это предупреждение, провели расследование и установили, что операторы сервиса Onion.top осуществили атаку по типу man-in-the-middle. Они анализировали проходящий через свой ресурс трафик, выявляли адреса биткоин-кошельков и подменяли их своими собственными. Это мошенничество уже принесло им не менее 22 тысяч долларов.