Un grupo misterioso ha secuestrado los nodos de salida de Tor para realizar ataques de eliminación de SSL



Desde enero de 2020, un misterioso actor de amenazas ha estado agregando servidores a la red Tor para realizar ataques de eliminación de SSL en los usuarios que acceden a sitios relacionados con criptomonedas a través del navegador Tor. El grupo ha sido tan prodigioso y persistente en sus ataques, que en mayo de 2020, ejecutaron una cuarta parte de todos los relés de salida de Tor, los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y accede a la Internet pública. Según un informe publicado el domingo por un investigador de seguridad independiente y operador del servidor Tor conocido como Nusenu, el grupo logró 380 relés de salida de Tor maliciosos en su punto máximo, antes de que el equipo de Tor hiciera la primera de tres intervenciones para eliminar esta red. "Se desconoce la extensión total [sic] de sus operaciones, pero una motivación parece ser simple y llana: ganancias", escribió Nusenu durante el fin de semana. El investigador dice que el grupo está realizando "ataques de persona en el medio a los usuarios de Tor al manipular el tráfico a medida que fluye a través de sus relés de salida", y que están apuntando específicamente a los usuarios que acceden a sitios web relacionados con criptomonedas utilizando el software Tor o el navegador Tor. . El objetivo del ataque de persona en el medio es ejecutar ataques de "eliminación de SSL" al degradar el tráfico web del usuario de las URL HTTPS a alternativas HTTP menos seguras.
Basado en su investigación, Nusenu dijo que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de mezcla de Bitcoin. Los mezcladores de Bitcoin son sitios web que permiten a los usuarios enviar Bitcoin de una dirección a otra dividiendo los fondos en pequeñas sumas y transfiriéndolos a través de miles de direcciones intermediarias antes de volver a unir los fondos en la dirección de destino. Al reemplazar la dirección de destino en el nivel de tráfico HTTP, los atacantes efectivamente secuestraron los fondos del usuario sin el conocimiento de los usuarios o del mezclador de Bitcoin.
"Los ataques de reescritura de direcciones de Bitcoin no son nuevos, pero la escala de sus operaciones sí lo es", dijo el investigador. Nusenu dijo que, en función de la dirección de correo electrónico de contacto utilizada para los servidores maliciosos, rastrearon al menos nueve diferentes clústeres de retransmisión de salida de Tor maliciosos, agregados en los últimos siete meses. Imagen: Nusenu El investigador dijo que la red maliciosa alcanzó su punto máximo en 380 servidores el 22 de mayo, cuando el 23.
El 95% de todos los relés de salida de Tor fueron controlados por el grupo, lo que les dio a los usuarios de Tor una probabilidad de uno en cuatro de aterrizar en un relé de salida malicioso. Nusenu dijo que ha estado informando los relés de salida maliciosos a los administradores de Tor desde mayo, y después del último derribo el 21 de junio, las capacidades del actor de amenazas se han reducido drásticamente. Imagen: Nusenu No obstante, Nusenu también agregó que desde la última eliminación "hay múltiples indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)". El investigador sugirió que es probable que el actor de amenazas continúe su ataque ya que el Proyecto Tor no cuenta con un proceso de investigación exhaustivo para las entidades que pueden unirse a su red. Si bien el anonimato es una característica central de la red Tor, el investigador argumenta que se puede implementar una mejor verificación para al menos los operadores de retransmisión de salida. Un ataque algo similar como este tuvo lugar en 2018; sin embargo, no apuntó a los relés de salida de Tor, sino a los proxies de Tor-to-web (Tor2Web), portales web en la Internet pública que permiten a los usuarios acceder.
direcciones de cebolla generalmente accesibles solo a través del navegador Tor. En ese momento, la firma de seguridad estadounidense Proofpoint informó que al menos un operador de proxy Tor-to-web estaba reemplazando silenciosamente las direcciones de Bitcoin para los usuarios que acceden a portales de pago de ransomware con la intención de pagar demandas de rescate, secuestrando efectivamente el pago y dejando a las víctimas sin una clave de descifrado. , incluso si pagaron el rescate. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı