في الآونة الخيرة إكتشف باحثون في أمن المعلومات من Proofpoint نوع جديد من أحد الهجممات الغريبة!!, حيث أصبح الصائد هو الفريسة, حيث أصبح قراصنة الانترنت فريسة لقراصنة آخرين. جميعنا نعلم هجوم فيروسات الفدية و على أبرزها ransomware و التي تطالبك بدفع مبلغ معين من البتكوين مقابل فك تشفير جهازك, و يستخدم القراصنة بروكسيات Tor لتجنب معرفة هوية القراصنة الذين هم وراء هجمات فيروسات الفدية.
و لكن حدث شيء غريب جدا سوف نتعرف عليه هنا في الموضوع .
قراصنة يسرقون القراصنة
في هجوم رانسوم وير يقوم القراصنة بإختراق أجهزة الكمبيوتر و يقومون بتثبيت برامج خبيثة على الأجهزة المخترقة حيث يتم تشفير جميع الملفات على النظام و يطالب القراصنة دفع فدية عبر عملة البتكوين من الضحايا و ليس البتكوين و حسب بل اي عملة مشفرة أخرى. ويتم إيصال البتكوين من خلال بروكسيات ثور Tor proxy ليتجنب القراصنة الملاحقة من قبل السلوطات. و بسبب إرتفاع العملات الرقمة لاحضنا زيادة عدد هجمات فيروسات الفدية.
و لكن كانت المفاجئة كبيرة, حيث ان مواقع البروكسيات مملوكة من قبل اشخاص من حول العالم. حيث قام المسؤولون عن هذه المواقع (مواقع البروكسيات) بتغيير عنوان الدفع و بدلا من أن يقوم الضحية بدفع الفدية الى القراصنة و يتم فك تشفير جهازه سيقوم بدفع الفدية الى أصحاب المواقع. و بالفعل حدث كل هاذا و لا أحد كان يعلم بالموضوع.
وفقا للباحثين في Proofpoint تم العثور على أحد البروكسيات و هو Onion.top حيث قام المسؤولون في الموقع بتغيير عنوان الدفع الخاص بالقراصنة الى عنوان الدفع الخاص بهم. و بدلا من أن تدفع الى القراصنة سوف تدفع الى أصحاب المواقع و لا نعلم إذا كان سيتم فك تشفير جهازك بعد دفع الفدية 🙁 .
و أشار Proofpoint : “أن عملة الخداع هذه سوف تأثر على أصحاب فيروسات الفدية و الضحايا معا و المستفيد الوحيد هو أصحاب البروكسيات.”
كيف تم إكتشاف عملة الغش
إكتشف الباحثون عملية الغش لأول مرة في هجوم LockeR و Globelmposter و Sigma ransomware . حيث علم الباحثون أن بروكسي onion.top يقوم بتغيير عنوان البتكوين .
“إذا تم إصابة جهازك ب الفياروس و طلب منك أن تدفع على موقع onion.top فلا تقم ب الدفع أبدا لأنه على الأغلب لن يتم فك تشفير جهازك ”
قام الباحثون بإختبار Globelmposter و Sigma ransomware على ثور و Onion.top و وجودا أن عناوين الدفع مختلفة في كل مرة. على سبيل المثال أظهر أحد البروكسيات على ثور عنوان الدفع الصحيح للقراصنة بينما بروكسي Onion.top أظهر عنوان دفع مختلف مما يعني أنه تم التلاعب بعنوان الدفع و إستبداله.
حوالي $20,000 ما تم سرقته حتى الآن
أوضح تحليل Proofpoint من خلال تحليل عناوين الدفع أنه تم نقل مبلغ $20,154 (BTC 1.82) و لكن لا نعلم حتى الآن إذا كان هناك بروكسيات أخرى يتم التلاعب بها . و خداع الضحايا و مجرمي الانترنت .
التهديد في تصاعد
على الرغم من أن المسؤولين على Onion.top قد سرقو عدد قليل من البيتكوين.يعتقد الباحثون أنه يمكن أن تنمو كتهديد كبير من شأنها أن تضر في نهاية المطاف الضحايا و لن يتمكنو من إسترجاع الملفات المشفرة في حالة لم تصل الفدية الى عنوان الدفع الصحيح. فكرة استبدال عناوين الدفع يمكن أن تفتح الأبواب لأصحاب البروكسيات الآخرين لفعل الشيء نفسه .
