ランサムウェアの身代金を横取りするTorプロキシサイト 23
ストーリー by headless
横取 部門より
横取 部門より
ランサムウェアの身代金を横取りするTorプロキシサイトの存在をProofpointが確認した。既に対策を講じているランサムウェア運用者もみられるという(Proofpointの記事、
The Registerの記事、
HackReadの記事)。
ランサムウェアの多くはTorの.onionサイトを使用し、身代金の支払先となるビットコインワレットのアドレスを表示する。.onionサイトへのアクセスにはTor Browserが必要となるが、Torプロキシサイトを経由してアクセスすることも可能だ。Torプロキシサイトのドメイン名は「onion.〇〇〇」という形式になっており、.onion URLのドメイン名に「.〇〇〇」部分を付加してアクセスすることで、Torトラフィックを通常のWebトラフィックに変換してくれる。しかし、悪意のあるTorプロキシサイト運営者がページの内容を書き換えて中間者攻撃を行うことも可能だ。
Proofpointが身代金を横取りするTorプロキシサイトの存在に気付いたのは、ランサムウェアLockeRの身代金支払いポータルに「onion.top」を使用しないよう赤字で記載されていたことだ。そのため、LockeRをはじめとして複数のランサムウェアの身代金支払いページをTor Browserおよびonion.top経由で表示して比較したところ、ビットコインワレットのアドレスが書き換えられることが確認された。書き換え先アドレスへの送金額は1月29日時点で2万ドルを超えているという。ただし、中にはアドレスの書き換えが行われないランサムウェアも存在するとのこと。
このようなTorプロキシサイトを使用すると、被害者が身代金を支払ったつもりでもランサムウェア運営者側には届かず、ファイルの復号鍵は入手できない。そのため、信頼関係で成立するランサムウェアビジネスにとっては深刻な問題となる。ランサムウェア運用者側の対策としては、LockeRのようにonion.topを使用しないよう注意喚起するものや、ビットコインアドレスをHTMLタグで分割してTorプロキシサイトによる検出を困難にするもの、ランサムメッセージをTor Browserで開いた場合にのみ身代金支払いページにアクセスできるようにするものなどが確認されているとのことだ。
ランサムウェアの多くはTorの.onionサイトを使用し、身代金の支払先となるビットコインワレットのアドレスを表示する。.onionサイトへのアクセスにはTor Browserが必要となるが、Torプロキシサイトを経由してアクセスすることも可能だ。Torプロキシサイトのドメイン名は「onion.〇〇〇」という形式になっており、.onion URLのドメイン名に「.〇〇〇」部分を付加してアクセスすることで、Torトラフィックを通常のWebトラフィックに変換してくれる。しかし、悪意のあるTorプロキシサイト運営者がページの内容を書き換えて中間者攻撃を行うことも可能だ。
Proofpointが身代金を横取りするTorプロキシサイトの存在に気付いたのは、ランサムウェアLockeRの身代金支払いポータルに「onion.top」を使用しないよう赤字で記載されていたことだ。そのため、LockeRをはじめとして複数のランサムウェアの身代金支払いページをTor Browserおよびonion.top経由で表示して比較したところ、ビットコインワレットのアドレスが書き換えられることが確認された。書き換え先アドレスへの送金額は1月29日時点で2万ドルを超えているという。ただし、中にはアドレスの書き換えが行われないランサムウェアも存在するとのこと。
このようなTorプロキシサイトを使用すると、被害者が身代金を支払ったつもりでもランサムウェア運営者側には届かず、ファイルの復号鍵は入手できない。そのため、信頼関係で成立するランサムウェアビジネスにとっては深刻な問題となる。ランサムウェア運用者側の対策としては、LockeRのようにonion.topを使用しないよう注意喚起するものや、ビットコインアドレスをHTMLタグで分割してTorプロキシサイトによる検出を困難にするもの、ランサムメッセージをTor Browserで開いた場合にのみ身代金支払いページにアクセスできるようにするものなどが確認されているとのことだ。
その理屈はおかしい (スコア:2)
信頼関係で成立するランサムウェアビジネス
いや、ランサムウエアをばらまいてる時点で、信頼以前の問題だろ。
Re:その理屈はおかしい (スコア:3, 参考になる)
効率的に金を巻き上げるには、一定の信頼性を保証するのがよろしい。
ちゃんと復元される見込みがあるからこそ、渋々ながら金を払うのですから。
「金は渡したぞ、人質を返せ!」
「ん~? 何のことかなァ~?」
てな具合にヒャッハー道を突っ走ると、最終的にはこの手の身代金モデルは崩壊します。
それは一種の信頼関係と言えなくもないですし、言葉を変えれば、契約履行の保証とでも。
Re: (スコア:0)
本当の「人」質で、そこそこリターンの大きい中産階級以上の親族の場合はヒャッハー道でも、南米の修羅の国では成り立つようですよ。
ランサムウェアでは、人質の値踏みが難しい故、リーズナブルな価格で広く回収、リピーター歓迎にしなければならないのでしょう。
Re: (スコア:0)
まあ人命ですからね。それも身内の。
あとふふふなんのことかななんてやらずに気が変わった身代金追加なとか言い出すんじゃないかな。
人質が生きているかも怪しいが。あーやだやだ。
Re: (スコア:0, 興味深い)
逆だろ。皆が「どうせ金払っても〜〜」と思えば人質ビジネスが崩壊して
ランサムウェア制作者も居なくなって、その方がよろしい。
Re: (スコア:0)
それでランサムウェア作者が捕まる、あるいは改心してカタギの仕事につく、というならそれが理想だけど。
実際には別の犯罪に手を染めるだけだろうから、社会的に見たら±0で「よろしい」わけではないような。
Re: (スコア:0)
その理屈だと特定の犯罪抑止のいかなる手段も別の犯罪に流れるだけで意味が無い、にならんかね?
そういう思想だって言うならそれでいいけど。
Re: (スコア:0)
偶発的な犯罪(交通違反など)は犯罪抑止だけで効果はある。
営利目的での組織犯罪は、組織を活動できないよう封じ込める(か、叩き潰す)ところまでやらない限り、別のシノギを見つけるだけ。
根本的な解決にはならない(一時的には犯罪が減るかもしれないにせよ、再発するだけ)
Re: (スコア:0)
ランサムウェアで金を巻き上げる側から見た場合ですヨ?
犯罪根絶の話ではないです
Re: (スコア:0)
はじめから書けないカス
Re: (スコア:0)
単純に二度支払わされるだけだと思う。
「私は既に身代金を用意したんだ。
ただ受け取り場所に持っていく途中で他の奴らに奪われただけで……」
「それはお前らの都合に過ぎない。
とにかく金を用意しろ。さもなくば人質の命は無いものと思え。」
ギャング相手に「精一杯努力したので、努力を認めてくれ」は通じるとか、考えが甘すじゃね?
Re: (スコア:0)
なぜかというとそのトラブルを警察に持ち込まれると困るから
つうか自分のシノギを荒らす奴を許すようなヤクザは生きていけない
Re: (スコア:0)
2度で済むかな?
Re: (スコア:0)
2度払う奴が有意に増えたら、そこの自演で何度でも集れると思う奴も必ず出るな。
Re: (スコア:0)
被害に遭うかもしれない身としては崩壊してくれたほうが助かりますね。
そういう意味では、横取りいいぞもっとやれ、とか。
Re:その理屈はおかしい (スコア:1)
身代金さえ払えばデータはきちんと帰ってくるという信頼があれば、セキュリティ対策費用やバックアップ構築費用より身代金を安く設定しておくことで、顧客(ターゲット)にとってはノーガード戦法がビジネス上の最適解となるのですよ。
信頼が損なわれれば、顧客は対策をしたほうが良いやと判断してしまうから困るのです。
Re: (スコア:0)
どちらかといえば対策したけど引っかかったときの問題だろう。どうせ払っても無駄だと思われるか最悪払えばデータが戻ると思われるか。
Re: (スコア:0)
「信頼」と書くから誤解を生む。
「恐喝による取引関係」
とでも言っておきなさい。最近は「ネット恐喝」なんて言葉もあるんだから。
某ちゃんねる (スコア:1)
onion.topでOnionちゃんねるが見れる。Torを普段使いのPCにあまりインストールしたいとは思わないので(信頼できる開発のソフトですが)
見れて興味深かった。Twitterで話題になっていたDDOS攻撃者のスレッド、千件くらいの投稿あるかと思ったけど、
50件くらいで、わざわざTor使って匿名投稿する人居ないんだね。
Re: (スコア:0)
そりゃまあ連中はクレジットカード決済を博行と愉快な仲間たち相手にやる度胸がある連中ですからね。
犯罪者同士の醜い戦い (スコア:0)
くだらないな
Re: (スコア:0)
…を装って、真の黒幕がコインを手にする。
犯罪者はくだらない、という思い込みを読まれてるんだよ。
Re: (スコア:0)
おお前のコメントもな