Um agente de ameaça desconhecido usa nós de saída maliciosos para a rede Tor há mais de um ano (mais de 16 meses) simplesmente para interceptar o tráfego e realizar ataques de remoção de SSL nos usuários que visitam os sites relacionados à criptomoeda.
Agora, muitos de vocês podem estar pensando que o que é Remoção de SSL? É um método através do qual os invasores fazem o downgrade de uma conexão de HTTPS seguro para HTTP simples.
Aqui, os ataques tornaram-se conhecidos em agosto de 2020, tudo graças a um pesquisador de segurança conhecido como “Nusenu”, que também é o operador do nó de saída Tor.
Na época, foi relatado que os ataques começaram em janeiro do ano passado e, no auge da operação, os invasores controlavam aproximadamente quatrocentos nós de saída maliciosos do Tor.
Novo ataque complicado
No entanto, de acordo com o relatório elaborado por Nusenu durante Médiodurante os ataques, os invasores alteraram os endereços das carteiras de criptomoedas pelos seus próprios para interceptar transações.
Apesar dos relatórios do ano passado, os agentes da ameaça ainda estão a operar os seus ataques. Tal como em fevereiro de 2021, os ataques atingiram 27% dos nós de saída maliciosos do Tor, embora a segunda onda de ataques tenha sido notada e neutralizada.
Mas, depois que a infraestrutura maliciosa esteve ativa por várias semanas. A principal razão para o sucesso desta operação é que os invasores adicionaram nós maliciosos em pequenos números, criando silenciosamente uma infraestrutura impressionante.
Além disso, desde maio Nusenu tem relatado retransmissões de saída maliciosas aos administradores da rede Tor. Mesmo ele também afirmou que as capacidades dos atacantes diminuíram drasticamente logo após a última queda ocorrida em 21 de junho.
No início de maio, os invasores tentaram colocar novamente online todos os servidores desconectados, o que não passou despercebido. Aqui, o ataque foi descoberto apenas um dia depois que o número de nós de saída do Tor disparou de 1.500 para mais de 2.500.
Então, em vez de desligar 1.000 servidores maliciosos, ainda assim os invasores 4-6% da potência do Tor sob seu controle. Além disso, Nusenu observou que, após o ataque de remoção de SSL, os invasores baixam modificações, mas o que exatamente eles fazem ainda não está claro.
Em 2018, ocorreu um ataque semelhante
Os especialistas em segurança cibernética alegaram que em 2018 ocorreu um tipo de ataque semelhante, mas naquela época os nós de saída do Tor não foram alvo. Em vez de nós Tor, os invasores visaram os proxies Tor-to-web (Tor2Web).
Além disso, o Tor-to-web (Tor2Web) proxies são os sites públicos que permitem que usuários normais acessem os sites .onion que só são acessíveis através do navegador Tor.
Durante esta operação, a Proofpoint, uma empresa de segurança dos EUA, informou que um operador desconhecido do proxy Tor-to-web tem substituído silenciosamente os endereços Bitcoin dos usuários que procuram pagar os pedidos de resgate nos portais de pagamento de ransomware.
Como resultado, os agentes da ameaça que estão no meio estão saqueando silenciosamente os pagamentos de resgate dos usuários e deixando-os de lado sem uma chave de descriptografia, mesmo depois de pagar o valor do resgate.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética